Poniższa
baza wirusów była tworzona w dniach 29.06.2002-23.07.2002
Źródła:
www.mks.com.pl
www.wirusy.pl
dwutygodnik Komputer ŚWIAT
BAT_ARICA.B
|
|
(ARICA.B)
jest destrukcyjnym robakiem rozprzestrzeniającym
się poprzez pocztę elektroniczną i mIRC.
Jeżeli znajduje, to usuwa następujące pliki programów
antywirusowych: C:\Programme\Norton~1\S32INTEG.DLL
C:\Programme\F-prot95\FPWM32.DLL
C:\Programme\Mcafee\SCAN.DAT
C:\Tbavw95\TBSCAN.SIG
C:\Programme\tbav\TBAV.DAT
C:\Tbav\TBAV.DAT
C:\Programme\Avpersonal\ANTIVIR.VDF
Zastępuje poniższe pliki kodem, który wysyła kopie
wirusa do innych użytkowników mIRC: C:\mirc\script.ini
C:\mirc32\script.ini
C:\progra~1\mirc\script.ini
C:\progra~1\mirc32\script.ini
Robak wykrywany jest przez programy firmy TREND
Micro z bazą wirusów 306. |
Typ:
robak internetowy
Poziom zagrożenia: średnio groźny |
|
| W I R U S
Y # 3 |
|
BAT_ARICA.B
|
robak internetowy |
| ELF_SCALPER.A |
|
(SCALPER.A,
Linux/Ehcapa.worm, FreeBSD.Scalper.Worm)
jest destrukcyjnym robakiem wykorzystującym przepełnienie
bufora w wersjach 1.x serwerów Apache pracujących
na FreeBSD w wersji 4.5.
Generuje losowe numer IP i sprawdza czy są tam
zainstalowane serwery Apache. Jeśli tak, to wykorzystuje
słabość bufora i otwiera zdalny tryb poleceń.
Robak instaluje się jako backdoor. Nasłuchuje
na zdalen polecenia na porcie UDP 2001. Komendą
może być dowolna z poniższych:
wykonywanie poleceń UDP flooding
TCP flooding
DNS flooding
uzyskanie adresu IP zainfekowanego komputera
przeglądanie stron WWW
Wysyłanie wiadomości
Robak wykrywany jest przez programy firmy TREND
Micro z bazą wirusów 306. |
Typ:
wirus
Poziom zagrożenia: groźny |
|
| W I R U S
Y # 3 |
|
ELF_SCALPER.A |
wirus |
| Lavehn |
|
Lavehn
jest robakiem internetowym, który poza rosyłaniem
własnych kopii za pomocą poczty elektronicznej,
posiada również procedurę destrukcyjną polegającą
na usuwaniu określonych plików.
Zwykle robak pojawia się w komputerze ofiary w
postaci załącznika do listu elektronicznego o
następujących parametrach:
Temat: ADMISION 2003
Treść: PROSPECTO DE ADMISION 2003
Załącznik: Unheval.exe
Po uruchomieniu przez użytkownika pliku załącznika
robak tworzy swoją kopię na dysku w katalogu systemowym
Windows w pliku UNHEVAL.EXE oraz modyfikuje tak
rejestr by był uruchamiany przy każdym starcie
systemu Windows.
W kolejnym etapie swego działania robak rozsyła
własne kopie za pomocą poczty elektronicznej do
wszystkich adresatów znajdujących się w książce
adresowej systemu Windows.
Na koniec usuwa wszystkie pliki z rozszerzeniami:
xls, doc, mdb, mp3, rpt, dwg odnalezione
na dysku.
|
Typ:
robak internetowy
Poziom zagrożenia: groźny |
|
| W I R U S
Y # 3 |
|
Lavehn
|
robak interentowy |
| Linux.Simile |
|
| Wirus
wieloplatformowy - atakuje systemy Windows i Linux.
Ukrywa się, szyfrując swój kod. Brak procedur
destrukcyjnych. |
Typ:
wirus wieloplatformowy
Poziom zagrożenia: średnio groźny |
|
| W I R U S
Y # 3 |
|
Linux.Simile
|
wirus wieloplatformowy |
| LoveSong |
|
W95.LoveSong
jest wirusem infekującym wykonywalne pliki systemu
Windows 95/98 typu PE wykrytym w Korei. Jego działanie,
poza infekcją, polega na odtwarzaniu znanej koreańskiej
melodii.
Po uruchomieniu zainfekowanego pliku, wirus instaluje
się w pamięci i następnie infekuje wszystkie uruchamiane
pliki. Kod wirusa umieszczany jest w sekcji .reloc
32-bitowych plików wykonywalnych. Jeżeli sekcja
ta nie jest wystarczająco duża, żeby pomieścić
kod wirusa, zarażany plik może ulec uszkodzeniu.
Poza rozprzestrzenianiem się, wirus zawiera procedurę
polegającą na odtwarzaniu znanej koreańskiej melodii
przy użyciu PC Speaker'a. Aktywizowana
jest ona po 16-02-2001 z pominięciem 30-ego każdego
miesiąca.
|
Typ:
makrowirus
Poziom zagrożenia: niegroźny, ale wkurzający ;) |
|
| W I R U S
Y # 3 |
|
LoveSong
|
makrowirus |
| Microsoft
beta testing |
|
Dear
Friends,
Please do not take this for a junk letter. Bill
Gates
is sharing his fortune. If you ignore this you
will
repent later.
Microsoft and AOL are now the largest Internet
companies
and in an effort to make sure that Internet Explorer
remains the most widely used program, Microsoft
and AOL
are running an e-mail beta test. When you forward
this
e-mail to friends, Microsoft can and will track
it
(if you are a Microsoft Windows user) for a two
week
time period.
For every person that you forward this e-mail
to,
Microsoft will pay you $245.00, for every person
that
you sent it to that forwards it on, Microsoft
will pay you
$243.00 and for every third person that receives
it, you will
be paid $241.00.
Within two weeks, Microsoft will contact you for
your
address and then send you a cheque. Regards.
Chinu!
I thought this was a scam myself, but two weeks
after receiving this e-mail and forwarding it
on, Microsoft
contacted me for my address and within days,
I received a cheque for US$24,800.00.You need
to respond before the beta testing is over.
If anyone can afford this Bill Gates is the
man.
It's all marketing expense to him. Please forward
this
to as many people as possible.
You are bound to get at least US$10,000.00.
|
Typ:
fałszywy alarm
Poziom zagrożenia: - |
|
| W I R U S
Y # 3 |
|
Microsoft
beta testing |
fałszywy alarm |
| Slip.B |
|
Slip.B
jest robakiem pocztowym napisanym w języku Visual
Basic Script, którego działanie polega na rozsyłaniu
własnych kopii za pomocą poczty elektronicznej.
Zwykle robak pojawia się w komputerze ofiary w
postaci załącznika do listu elektronicznego o
następujących parametrach i losowej nazwie pliku
załącznika: Temat: Actualizacion critica
de Anti-virus
Treść: Actulizacion critica contra el virus KLEZ
este es el ultimo parche para su desinfecion
Załącznik: [nazwa pliku załącznika jest różna]
Po uruchomieniu przez użytkownika pliku załącznika
robak rozpoczyna swoją procedurę masowej dystrybucji,
polegającą na rozsyłaniu własnych kopii za pomocą
poczty elektronicznej do wszystkich adresatów
znajdujących się w książce adresowej systemu Windows.
|
Typ:
robak internetowy
Poziom zagrożenia: niegroźny |
|
| W I R U S
Y # 3 |
|
Slip.B
|
robak internetowy |
| Tomek |
|
To
bardzo wazna wiadomosc. Nie lekcewaz jej.
Tomek ma 14 lat. W zeszlym miesiacu Tomek dowiedzial
sie,ze w jego mozgu znajduje sie guz.
Z kazdym dniem stan Tomka sie pogarsza. Guz coraz
bardziej
zaczyna uciskac mozg, powodujac tym samym powolna
i
bolesna smierc Tomka.
Poza tym mozna u niego juz wykryc poczatki
uposledzenia umyslowego. Jego rodzina jest bardzo
biedna
i nie ma pieniedzy na operacje.
Tomek dzieki niej uniknie smierci, ale juz do
konca zycia
bedzie uposledzony.
Dlatego wlasnie Portal Onet.pl postanowil pomoc
Tomkowi.
Za kazdy e-mail bedzie wplacal symboliczna zlotowke
na konto Tomka. Wystarczy jesli 7500 osob otrzyma
ta
wiadomosc. A wiec jesli masz choc troche dobrej
woli i
dobre serce przeslij ta wiadomosc do wszystkich,
ktorych
masz w ksiazce adresowej.
Bedziesz mial swiadomosc, ze moze wlasnie dzieki
Tobie
Tomek bedzie zyl. To w koncu moglo sie przytrafic
takze Tobie.
|
Typ:
fałszywy alarm
Poziom zagrożenia: - |
|
| W I R U S
Y # 3 |
|
Tomek
|
fałszywy alarm |
TROJ_DOAL.A
|
|
TROJ_DOAL.A
jest destrukcyjnym trojanem, który maskuje się
jako generator klucza do Windows XP Home. Umieszcza
plik load.exe, który uruchamiany jest przy każdym
starcie systemu za pomocą wpisu do rejestru:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“Microsoft Tasks”="C:\Program
Files\Common Files\Software\Load.exe".
Program informuje użytkownika o braku miejsca
na dysku instalcyjnym i pyta czy kontynuować.
Jeśli użytkownik odpowie "tak", trojan
przechodzi na dysk C i usuwa wszystkie pliki.
Troja wykrywany jest przez programy firmy TREND
Micro z bazą wirusów 306. |
Typ:
koń trojański
Poziom zagrożenia: średnio groźny |
|
| W I R U S
Y # 3 |
|
TROJ_DOAL.A
|
koń trojański |
| WConn |
|
WConn
jest robakiem internetowym udającym generator
haseł do stron porno. Jego działanie polega na
rozsyłaniu własnych kopii za pomocą poczty elektronicznej.
Zwykle robak pojawia się w komputerze ofiary w
postaci załączniku do listu elektronicznego o
następujących parametrach: Temat: Free
porn site passwords!
Treść: Have this file installed in your system.
Enter porno sytes and a password will be
given 2 you at instant!
Always select ok of installer.
Załącznik: SetupFP.exe
Po uruchomieniu przez użytkownika pliku załącznika
robak wyświetla okienko dialogowe, z zapytaniem
czy uruchomić instalatora darmowych haseł do stron
porno. Jeżeli użytkownik wybierze "Anuluj"
nic się nie dzieje. Jeżeli wybierze "OK"
robak tworzy swoją kopię w pliku C:\Windows\Temp\SetupFP.exe.
W kolejnym etapie swego działania robak rozsyła
własne kopie za pomocą poczty elektronicznej do
wszystkich adresatów znajdujących się w książce
adresowej systemu Windows. Na koniec robak, po
udanej wysyłce, usuwa swoją kopię w pliku C:\Windows\Temp\SetupFP.exe.
|
Typ:
robak internetowy
Poziom zagrożenia: niegroźny |
|
| W I R U S
Y # 3 |
|
WConn
|
robak internetowy |
| WORM_ARGEN.A |
|
(ARGEN.A,
VBS_LEOLE.A) jest destrukcyjnym, rezydentnym
robakiem, który usuwa w katalogu głównym dysku
C:\ wszystkie pliki bez atrybutu "ukryty".
Tworzy wiele swoich kopii z następującymi nazwami:
C:\AUTOEXEC.BAK .EXE
C:\MSDOS.TIL .EXE
C:\HackTools.EXE
C:\COMMAND.COM .EXE
C:\MSDOS.SYS .EXE
C:\CONFIG.SYS .EXE
C:\AUTOEXEC.BAT .EXE
Rozprzestrzenia się poprzez pocztę elektroniczną
wysyłając swoje kopie do wszystkich użytkowników,
których adresy znajdują się w zainfekowanej książce
adresowej programu Microsoft Outlook. Zawirusowana
wiadomość może mieć postać: Temat: This
is a last hoax list.
Treść: I send the list of false alarms, so that
you do not make case to the lies bye.
Załącznik: List.txt.by.Microsoft.com
Robak wykrywany jest przez programy firmy TREND
Micro z bazą wirusów 308.
|
Typ:
robak internetowy
Poziom zagrożenia: groźny |
|
| W I R U S
Y # 3 |
|
WORM_ARGEN.A
|
robak interentowy |
| VBS_SLIP.B |
|
(VBS.SLIP.B@MM)
jest destrukcyjnym skryptem VBS, który wysyła
swoje kopie do wszystkich użytkowników, których
adresy znajdują sie w zainfekowanej książce adresowej
programu Microsoft Outlook. Zainfekowana wiadomość
ma postać: Temat: "Actualizacion
critica de Anti-virus"
Treść: "Actulizacion critica contra el virus
KLEZ este es el ultimo parche para su desinfecion"
Załącznik: skrypt VBS(2,747 bity), nazwa
może być różna.
Usuwa następujące pliki z katalogu systemowego
Windows:
spip.vbs, slip_b.exe, nerfix.exe, xpload.exe,
kuasanagui.exe, neodrako.exe, nemesixx.exe, zirkov.exe,
jefaso.exe, egrone.exe, dr.neo.exe, vbs.slip.b.exe,
ip.exe, regedit.exe, anti-virus.exe, Norton.exe,
AVP.exe, Mcafee.exe, panda.exe, per.exe, loock_down.exe,
bitdefender.exe, pccillin.exe
Wirus wykrywany jest przez programy firmy TREND
Micro z bazą wirusów 306. |
Typ:
robak internetowy
Poziom zagrożenia: średnio groźny |
|
| W I R U S
Y # 3 |
|
VBS_SLIP.B |
robak internetowy |
| Zacry.A |
|
Zacry.A
jest wirusem makr Worda 97, który poza infekowaniem
dokumentów rozsyła je również za pomocą poczty
elektronicznej.
Zwykle wirus pojawia się w komputerze ofiary w
postaci zainfekowanego dokumentu Worda 97, stanowiącego
załącznik do listu elektronicznego o następujących
parametrach: Temat: Re: Send to me
Treść: It's your document
Załącznik: [zainfekowany dokument Worda]
Po uruchomieniu przez użytkownika pliku załącznika
wirus infekuje globalny szablon edytora Word -
normal.dot. Od tego momentu wszystkie edytowane
dokumenty podlegają infekcji. Dodatkowo wirus
rozsyła swoje kopie za pomocą poczty elektronicznej
do wszystkich adresatów znajdujących się w książce
adresowej systemu Windows, korzystając przy tym
z programu Microsoft Outlook.
Wirus nie zawiera, żadnych procedur destrukcyjnych,
jednak poprzez losowe dołączanie zainfekowanych
dokumentów do rozsyłanych listów, może wysyłać
poufne informacje zawarte w nich bez wiedzy użytkownika. |
Typ:
makrowirus pocztowy
Poziom zagrożenia: średnio groźny |
|
| W I R U S
Y # 3 |
|
Zacry.A
|
makrowirus pocztowy |
| Worm.Enemany.B |
|
| Robak
internetowy, ukrywający się w pliku Esel_Update.Exe.
Brak procedur destrukcyjnych, ale rozsyła setki
swoich kopii. |
Typ:
robak internetowy
Poziom zagrożenia: niegroźny |
|
| W I R U S
Y # 3 |
|
Worm.Enemany.B
|
robak internetowy |
|
|