Računalništvo, telefonija
24.01.2005 08:13

Deli z drugimi:

Share

Tedensko poročilo o virusih in vsiljivcih

Ta teden je poročilo o virusih osredotočeno na tri črve, z imeni Bropia.A, Zar.A ter Mydoom.AE- in na Gaobot.batch.

Bropia.A se širi preko MSN Messengerja. To počne tako, da išče aplikacije z navedbo razreda ‘IMWindowClass’ in če takšno aplikacijo najde, pošlje sama sebe z uporabo enega od sledečih imen: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif in love_me.pif.

Potem ko je zagnana, Bropia.A preglejuje datoteke %systemdir%- s sledečimi imeni: adaware.exe, VB6.EXE, lexplore.exe in Win32.exe. Če ne obstajajo, kreira datoteko, ki vsebuje kopijo različice Gaobot-a. Bropia.A tudi generira celo vrsto datotek v %systemdir% in jih odpre z namenom preprečitve izvajanja taskmgr.exe in cmd.exe procesov. Podobno, Bropia.A onemogoči kombinacijo ključa CTRL+ALT+Del in lahko onemogoči tudi desni gumb miške.

Zar.A se širi preko emaila v sporočilih, ki opozarjajo na cunamije, ki so napadli Azijo decembra 2004. Oboje, tako naslov kot vsebina teksta sta v bistvu apel za pomoč žrtvam, priponka pa se imenuje TSUNAMI.EXE. Ko se datoteka zažene, se računalnik inficira z Zar.A, ki z uporabo MAPI, pošlje kopijo sama sebe vsem naslovom, ki jih najde v Outlook adresarju.

Zar.A kreira tri datoteke in generira vstopni register v Windowsih, s čimer zagotavlja, da se zažene vsakokrat, ko se odpre računalnik. Ta črv tudi poskuša lansirati napad preklica storitev (DoS), pred www.hacksector.de spletno stranjo.

Naslednji črv, ki si ga bomo danes pobliže pogledali, je Mydoom.AE, ki se širi v elektronskih sporočilih različnih karakteristik in preko delilnih programskih datotek P2P. Ko okuži računalnik, Mydoom.AE izvaja naslednje aktivnosti:

– Odpre Notepad in izpiše tekst, sestavljen z naključno pisvo.
– Spremeni HOSTS datoteko in tako prepreči uporabniku dostop do spletnih strani nekaterih protivirusnih družb. Omeji tudi procese, ki jih izvajjo protivirusni programi, s čemer povzroči, da je računalnik ranljiv za napad drugih sovražnih kod.
– Dokonča procese, ki pripradajo sovražnim kodam.
– Poskuša presneti datoteke z interneta.

Današnje poročilo zaključujemo z omenjenim Gaobot.batch, ki je dejansko serijska procesna datoteka, ki briše originalne datoteke Gaobot, če so na računalniku nameščene.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Diamantni partner

ADM ADRIA d.o.o.

Prvomajska ulica 17, 3000 Celje, Tel: 05 925 19 55
O nas Večina podjetij se ustanavlja zaradi poslovne ideje, prodajnega koncepta ali pa zaradi potrebe po formaliziranju opravljanja poslovnih aktivnosti. Na primeru družbe ADM-Adria, ... Več

MORDICOM d.o.o.

Šolska ulica 40, 5250 Solkan, Tel: 05 330 03 60
Skoraj nemogoče je preceniti vpliv rešitev za načrtovanje virov podjetja (ERP) v sodobnem poslovnem svetu. ERP sistemi so nadomestili nepovezane delovne tokove in nezdružljiva ... Več

POINT.ER IT d.o.o.

Dolenji Boštanj 55, 8294 Boštanj, Tel: 07 814 98 00
Osredotočeni s Point.er Kako na enem mestu najti vse, kar potrebujete pri vodenju podjetja ali le v domači pisarni? Point.er it, d. o. o., je podjetje, ki ponuja celotne IT storitve, ... Več

REMIS d.o.o.

Letališka cesta 32, 1000 Ljubljana, Tel: 01 521 13 18