Tedensko poročilo o virusih in vsiljivcih

Ta teden je poročilo o virusih osredotočeno na tri črve, z imeni Bropia.A, Zar.A ter Mydoom.AE- in na Gaobot.batch.

Bropia.A se širi preko MSN Messengerja. To počne tako, da išče aplikacije z navedbo razreda ‘IMWindowClass’ in če takšno aplikacijo najde, pošlje sama sebe z uporabo enega od sledečih imen: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif in love_me.pif.

Potem ko je zagnana, Bropia.A preglejuje datoteke %systemdir%- s sledečimi imeni: adaware.exe, VB6.EXE, lexplore.exe in Win32.exe. Če ne obstajajo, kreira datoteko, ki vsebuje kopijo različice Gaobot-a. Bropia.A tudi generira celo vrsto datotek v %systemdir% in jih odpre z namenom preprečitve izvajanja taskmgr.exe in cmd.exe procesov. Podobno, Bropia.A onemogoči kombinacijo ključa CTRL+ALT+Del in lahko onemogoči tudi desni gumb miške.

Zar.A se širi preko emaila v sporočilih, ki opozarjajo na cunamije, ki so napadli Azijo decembra 2004. Oboje, tako naslov kot vsebina teksta sta v bistvu apel za pomoč žrtvam, priponka pa se imenuje TSUNAMI.EXE. Ko se datoteka zažene, se računalnik inficira z Zar.A, ki z uporabo MAPI, pošlje kopijo sama sebe vsem naslovom, ki jih najde v Outlook adresarju.

Zar.A kreira tri datoteke in generira vstopni register v Windowsih, s čimer zagotavlja, da se zažene vsakokrat, ko se odpre računalnik. Ta črv tudi poskuša lansirati napad preklica storitev (DoS), pred www.hacksector.de spletno stranjo.

Naslednji črv, ki si ga bomo danes pobliže pogledali, je Mydoom.AE, ki se širi v elektronskih sporočilih različnih karakteristik in preko delilnih programskih datotek P2P. Ko okuži računalnik, Mydoom.AE izvaja naslednje aktivnosti:

– Odpre Notepad in izpiše tekst, sestavljen z naključno pisvo.
– Spremeni HOSTS datoteko in tako prepreči uporabniku dostop do spletnih strani nekaterih protivirusnih družb. Omeji tudi procese, ki jih izvajjo protivirusni programi, s čemer povzroči, da je računalnik ranljiv za napad drugih sovražnih kod.
– Dokonča procese, ki pripradajo sovražnim kodam.
– Poskuša presneti datoteke z interneta.

Današnje poročilo zaključujemo z omenjenim Gaobot.batch, ki je dejansko serijska procesna datoteka, ki briše originalne datoteke Gaobot, če so na računalniku nameščene.