Od
tego numeru, Baza Wirusów zmienia nieco sposób swojego działania.
Nie będą tu teraz prezentowane WSZYSTKIE wirusy, a jedynie te najnowsze,
najgroźniejsze i najpopularniejsze. Bezsensowne jest bowiem tworzenie
czegoś wielkiego, mając ok. 150kB na kącik (a wiedzcie, że prócz
Bazy są też inne działy). Mam jednak nadzieję, że nowa Baza
Wirusów przypadnie wam do gustu.
Źródła:
www.mks.com.pl
dwutygodnik Komputer ŚWIAT
| AnnaKournikova
(OnTheFly) |
|
OnTheFly
(znany również jako AnnaKournikova) jest
kolejnym robakiem internetowym rozsyłającym się
przy pomocy poczty elektronicznej, napisanym w języku
Visual Basic Script. Robak jest jednym z
szybciej rozprzestrzeniających się okazów tego gatunku.
Robak, znany również pod nazwami Lee lub
AnnaKournikova, jest wewnętrznie zakodowany
przy pomocy pakietu narzędzi do tworzenia wirusów.
Zwykle robak pojawia się w komputerze ofiary w postaci
załącznika do listu elektronicznego o następujących
prametrach:
Temat: Here you have, ;o)
Treść: Hi:
Check This!
Załącznik: AnnaKournikova.jpg.vbs
Po uruchomieniu przez użytkownika załącznika do
listu elektronicznego robak tworzy wpis w rejestrze
systemu Windows w kluczu:
HKEY_CURRENT_USERSoftwareOnTheFly
i jeżeli aktualna data to 26 stycznia przekierowuje
przeglądarkę internetową do holenderskiej strony
www.
Kolejnym etapem działania robaka jest masowe rozsyłanie
listów elektronicznych zawierających w załączniku
kopie OnTheFly do wszystkich adresatów znajdujących
się w książce adresowej programu Microsoft Outlook.
Robak tworzy również klucz rejestru:
HKEY_CURRENT_USERSoftwareOnTheFlymailed
informujący go, że wysyłka miała już miejsce i zabezpieczający
przed kolejną jej próbą. |
Typ:
robak internetowy
Poziom zagrożenia: średnio groźny
Więcej o tym wirusie w numerze czwartym. |
|
| W I R U S Y
# 2 |
|
AnnaKournikova |
robak internetowy |
| A
Virtual Card For You - po polsku |
|
ALERT!!!
Kasować natychmiast. Jest to nowy wirus który atakuje
sektor zero na
twardym dysku kasując wszystkie dane. Rozprzestrzenia
się samoczynnie
przez książkę adresową. Nie ma jeszcze szczepionki!.
Odkryty wczoraj
wywołał panikę w Nowym Jorku.
Powiadomcie Waszych znajomych. Wiadomość z Microsoft. |
Typ:
fałszywy alarm
Poziom zagrożenia: - |
|
| W I R U S Y
# 2 |
|
A
Virtual Card For You - po polsku |
fałszywy alarm |
| Bajar |
|
Bajar
jest robakiem internetowym, którego działanie polega
na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.
Jednak ze względu na błędy w kodzie procedura masowej
dystrybucji nie działa.
Zwykle robak pojawia się w komputerze ofiary w postaci
załącznika do listu elektronicznego o następujących
parametrach:
Temat: Nuevo programa para bajar musica gratis
Treść:
con este programa vas a poder bajar cualquier
tipo de musica las mejores canciones
Załącznik: Brak załącznika ze względu na błędy w
kodzie
Uruchomiony robak tworzy na dysku swoje kopie w
plikach:
C:\System.dll.vbs
C:\Windows\System\Anti-Virus.vbs
C:\Windows\System\Norton.exe
C:\Windows\System\Fonts.chm
C:\Windows\System\Zonavirus.html
C:\Windows\System\Hoko.exe
C:\Windows\System\Neodrako.exe
C:\Windows\System\Nemesixx.exe
C:\Windows\System\Razor.exe
C:\Windows\System\Egrone.exe
C:\Windows\System\Run.exe
C:\Windows\System\NERFIX.vbs
C:\Windows\System\Regedit.exe
C:\Windows\System\Mtv.exe
C:\Windows\System\Suck.exe
C:\Windows\System\Group.exe
C:\Windows\System\Zirkov.exe
C:\Windows\System\Regedit.exe
C:\Windows\System\Fonts.exe
C:\Windows\System\Xpload.exe
C:\Windows\System\Mp3.vbs
C:\Windows\System\Mp3.exe
oraz modyfikuje tak rejestr by jego kopia była uruchamiana
przy każdym starcie systemu Windows.
Dodatkowo robak stara się usunąć następujące pliki
C:\Windows\Rundll.exe, C:\Windows\System\Vshield.vxd
C:\Autoexec.bat, C:\Windows\Regedit.exe, C:\Windows\Regedit.com.
Na koniec robak rozpoczyna procedurę masowej dystrybucji
polegając na rozsyłaniu swoich kopii za pomocą poczty
elektronicznej do wszystkich adresatów odnalezionych
w książce adresowej systemu Windows. Ze względu
na błędy w kodzie robaka, do listów nie są załączane
pliki, a więc oprócz zwykłych listów elektronicznych
robak nie rozsyła nic groźnego.
|
Typ:
robak internetowy
Poziom zagrożenia: średnio groźny |
|
| W I R U S Y
# 2 |
|
Bajar
|
robak internetowy |
| Draco |
|
| Makrowirus
Excela. Zamyka aktywny arkusz w Excelu. Brak innych
procedur destrukcyjnych. |
Typ:
makrowirus
Poziom zagrożenia: średnio groźny |
|
| W I R U S Y
# 2 |
|
Draco
|
makrowirus |
| Gubed |
|
Guberd
jest robakiem internetowym, rozsyłającym swoje kopie
za pomocą poczty elektronicznej, wszystkie inne
funkcje nie działają, ze względu na błędy w kodzie.
Zwykle robak pojawia się w komputerze ofiary w postaci
załącznika do listu elektronicznego o następujących
parametrach:
Temat: Congratulations for your site
Treść:
Congratulations for your site
This is a good tool to improve it.
Best Regards.
Załącznik: WebMakeFullInstall.exe
Po uruchomieniu przez użytkownika pliku załącznika
robak tworzy na dysku swoje kopie w pliku W32.exe
oraz w pięciu plikach w katalogu systemu Windows
o nazwach takich, jak znajdujące się tam pliki z
rozszerzeniem exe, jednak z dodanym po nazwie ciągu
_vbpe.exe. Robak modyfikuje także rejestr tak by
plik W32.exe był uruchamiany przy każdym starcie
systemu Windows.
W kolejnym etapie swego działania robak rozpoczyna
procedurę rozsyłania własnych kopii za pomocą poczty
elektronicznej. Listy wysyłane są do wszystkich
adresatów, których adresy odnalezione są w plikach:
index.htm, index.html, index.asp, default.htm,
default.html, default.asp, main.htm, main.html,
main.asp. Procedura odpowiedzialna za pobieranie
adresów z książki adresowej systemu Windows zawiera,
błędy, dlatego kopie robaka nie zostają wysłane
do tych adresatów.
|
Typ:
robak internetowy
Poziom zagrożenia: niegroźny |
|
| W I R U S Y
# 2 |
|
Gubed
|
robak interentowy |
| Jolin |
|
Jolin
jest kolejnym przedstawicielem rodziny robaków internetowych
napisanych w języku Visual Basic Script.
Rozprzestrzenia się on za pomocą poczty elektronicznej
oraz IRCa, a także usuwa i nadpisuje pliki o określonych
rozszerzeniach.
Zwykle robak pojawia się w komputerze ofiary w postaci
pliku załącznika do listu elektronicznego o następujących
parametrach:
Temat: FW: Check this out...
Treść:
This was the first naked picture taken by a Taiwan
singer!
Jolin... please don't get over steam by staring
at the picture!
keke~
Załącznik: !!jolin_caught_naked!!!!.jpg.vbs
Po uruchomieniu przez użytkownika pliku załącznika
robak aktywizuje się rozpoczynając procedurę masowej
dystrybucji. Polega ona na wysyłaniu własnych kopii
do wszystkich adresatów znajdujących się w książce
adresowej systemu Windows, korzystając z programu
Microsoft Outlook lub Outlook Express.
Dodatkowo robak stara się nadpisać skrypt startowy
script.ini popularnego programu do obsługi IRCa
- mIRCa - czego efektem jest wysyłanie kopii robaka
do wszystkich osób znajdujących się na kanale, na
który wejdzie zainfekowany użytkownik.
Po procedurze dystrybucji nadchodzi czas na destrukcję.
Robak stara się usunąć wszystkie pliki z rozszerzeniami
exe, dll, inf, znajdujące się w katalogu
windows\system, a także zamienić wszystkie pliki
z rozszerzeniami zip, mps, mpeg znajdujące
się w katalogu c:\my documents. Na sam koniec próbuje
również tworzyć własne kopie na wkładanych do napędu
dyskietkach. |
Typ:
robak internetowy
Poziom zagrożenia: groźny |
|
| W I R U S Y
# 2 |
|
Jolin
|
robak internetowy |
| Krim.B |
|
Krim.B
jest robakiem internetowym, który rozsyła za pomocą
poczty elektronicznej swoje kopie oraz stara się
sformatować dysk c:.
Zwykle robak pojawia się w komputerze ofiary w postaci
załącznika do listu elektronicznego o następujących
parametrach:
Temat: SMS for YOU by Valentina
Treść: Apri il tuo
cuore !
Valentina ti sta aspettando a Lecce
Załącznik: Mirko.bat
Po uruchomieniu przez użytkownika pliku załącznika
robak tworzy na dysku następujące pliki:
C:\Mirkoz.reg
C:\Windows\Mirko.reg
C:\Vale.vbs
C:\Mirko.vbs
C:\Windows\Vale\Vale.bat
C:\Windows\Vale\Mirko.bat
oraz modyfikuje plik autoexec.bat,
tak by plik mirko.bat był uruchamiany przy
każdym starcie systemu Windows. Po ponownym uruchomieniu
komputera następuje formatowanie dysku c:.
Po stworzeniu na dysku swoich
plików robak rozsyła własne kopie za pomocą poczty
elektronicznej do wszystkich adresatów znajdujących
się w książce adresowej systemu Windows.
|
Typ:
robak internetowy
Poziom zagrożenia: groźny |
|
| W I R U S Y
# 2 |
|
Krim.B
|
robak internetowy |
| Kwbot |
|
Kwbot
jest koniem trojańskim, który komunikując się za
pomocą IRC pozwala na przejęcie kontroli
nad komputerem ofiary poprzez sieć.
Zwykle trojan pojawia się w komputerze ofiary w
postaci pliku pobranego za pośrednictwem KaZaA,
o jednej z poniższych nazw:
Sum of all Fears SVCD CD3.exe
Star Wars Episode 2 -
Attack of the Clones VCD CD2.exe
Spiderman SVCD CD3.exe
Grand Theft Auto 3 CD2 ISO.exe
Playstation 2 PS2 Emulator.exe
Windows XP Home to Professional Upgrade.exe
Windows XP backdoor hack.exe
Windows 2000 win2k password stealer.exe
Microsoft Office XP Upgrade (from older versions).exe
Macromedia Flash 5 Ultimate Study Guide.exe
ZoneAlarm Firewall Pro.exe
Norton Internet Security 2002.exe
Po
uruchomieniu przez użytkownika pliku trojanam, tworzy
on na dysku swoją kopię w pliku EXPLORER32.EXE
oraz modyfikuje tak rejestr by był uruchamiany przy
każdym starcie systemu Windows.
Trojan
zawiera w sobie klienta IRCa, dzięki któremu łączy
się z określonym kanałem IRCa, gdzie nasłuchuje
na komendy od swojego autora.
Trojan
pozwala na wykonywanie na komputerze ofiary następujących
operacji:
-
zarządzanie instalacją trojana
- kontrolowanie klienta IRCa
- uaktualnianie zainstalowanego trojana
- wysyłanie kopii trojana na inne kanały IRCa
- pobieranie i uruchamianie plików z sieci
- uzyskiwanie informacji o systemie ofiary
- przeprowadzanie ataku typu DoS
- odinstalowanie trojana
|
Typ:
koń trojański
Poziom zagrożenia: groźny |
|
| W I R U S Y
# 2 |
|
Kwbot
|
koń trojański |
| NATO |
|
No
URL, just forward.
URL"e;s description: On May 5. 1999, the NATO
virus will be
unleashed. Plz warn as many as possible NOT to PC"e;s
that day!
Potem pojawił się taki dodatek:
Virus named NATO does not exist, besides on every
day of every
year one or more of the over 40000 PC viruses will
activate,
Don"e;t use computer and you"e;re safe.
|
Typ:
fałszywy alarm
Poziom zagrożenia: - |
|
| W I R U S Y
# 2 |
|
NATO
|
fałszywy alarm |
| Paukor |
|
Paukor
jest robakiem internetowym, który udając skompresowane
archiwum, przechwytuje wszystko co jest pisane na
klawiaturze i te informacje przesyła swojemu autorowi.
Zwykle robak pojawia się w komputerze ofiary w postaci
załącznika do listu elektronicznego o następujących
parametrach:
Temat: Pictures with your loved one
Treść:
Hi!
I'm
sorry I have to send you these compromising
pictures with the one you love, or you loved. :((
The quality is not so good because of the cheap
camera, but you should be able to guess where
they were taken.
I
compressed it as a self extracting archive because
I didn't knew if you have WinZip. When you run it,
it should display the extract dialog.
I'm really sorry I had to be the one who told
you about this. :((
Załącznik: Images_zipped.exe
Po uruchomieniu przez użytkownika pliku załącznika
robak tworzy w katalogu systemu Windows plik systray.exe
oraz modyfikuje rejestr dla uruchamiania go przy
każdym starcie systemu Windows. Uruchomiony systray.exe
przechwytuje wszystkie naciśnięcia klawiszy i zapisuje
je w pliku msp.dat w katalogu Windows, a
następnie stara się je przesłać do swego autora.
W ten sposób może wykreść potencjalnie istotne i
ważne informacje.
Dodatkowo Paukor tworzy na dysku dwa pliki images_zipped.exe
i msd.vbs wykorzystywane do masowej dystrybucji.
Dystrybucja ta polega na wysyłaniu kopii robaka
za pośrednictwem poczty elektronicznej do wszystkich
adresatów znajdujących się w książce adresowej systemu
Windows.
Ponadto
robak modyfikuje autoexec.bat tak, by przy
ponownym uruchomieniu komputera usunięta została
zawartość katalogów Local Settings i History.
Na
koniec, dla zamaskowania swego działania, robak
wyświetla okienko dialogowe informujące o uszkodzeniu
rzekomego archiwum. |
Typ:
robak internetowy
Poziom zagrożenia: groźny |
|
| W I R U S Y
# 2 |
|
Paukor
|
robak internetowy |
| Shakira |
|
Robak
internetowy rozprzestrzeniający się przez pocztę
elektroniczną i kanały IRC. Umieszczany jest w załączniku
ShakiraPics.jpg.vbs. Usuwa z dysku pliki z rozszerzeniem
vbs i vbe.
|
Typ:
robak internetowy
Poziom zagrożenia: średnio groźny |
|
| W I R U S Y
# 2 |
|
Shakira
|
robak internetowy |
| Skren.A |
|
Skren.A
jest robakiem pocztowym, którego działanie polega
na rozsyłaniu swoich kopii za pomocą poczty elektronicznej.
Zwykle robak pojawia się w komputerze ofiary w postaci
załącznika do listu elektronicznego o następujących
parametrach:
Temat: Check Out This Cool Screensaver
Załącznik:
KellyOsbourne.com.gz
Po
uruchomieniu przez użytkownika pliku załącznika
robak tworzy na dysku swoją kopię w pliku C:\KellyOsbourne.com.
Następnie robak rozsyła własne kopie za pomocą poczty
elektronicznej do wszystkich adresatów znajdujących
się w książce adresowej systemu Windows. |
Typ:
robak internetowy
Poziom zagrożenia: niegroźny |
|
| W I R U S Y
# 2 |
|
Skren.A
|
robak internetowy |
|
|