Wirusy
Baza wirusów 20 września - 17 października 2002 roku.
Źródła:
www.mks.com.pl
www.wirusy.pl
PYTANIE
Czy chcesz, by wirusy były prezentowane w formie:
a) tabel
wyskakujących (coś takiego, co było w Wirusach)
b) pop-upów
c) tak,
jak teraz
Platrash
Platrash jest koniem trojańskim, którego działanie polega na udostępnianiu
nieautoryzowanego dostępu do komputera ofiary przez sieć.
Po uruchomieniu przez użytkownika pliku trojana, tworzy on w katalogu
systemu Windows swoją kopię o nazwie takiej jak pierwotnie uruchomiona
kopia robaka oraz modyfikuje tak rejestr by jego kopia była uruchamiana
przy każdym starcie systemu Windows.
Aktywny trojan nasłuchuje na portach 23005 i 23006 na komendy
umożliwiając pobieranie plików, usuwanie i uruchamianie plików,
zamykanie i restartowanie systemu Windows, wyświetlanie wiadomości,
wysuwanie tacki napędu CD-ROM oraz przechwytywanie pisania na
klawiaturze.
DarkSky.C
DarkSky.C jest koniem trojańskim pozwalającym na przejęcie kontroli
nad komputerem ofiary poprzez sieć.
Po uruchomieniu przez użytkownika pliku trojana tworzy on na dysku
swoje kopie w plikach:
Msinter.exe
Notepd.exe
Mobbs.exe
Nuscr.exe
a następnie wykonuje zmiany w rejestrze systemu Windows, tak by
kopia trojana była uruchamiana przy każdym starcie systemu, a
także przy uruchamianiu plików z rozszerzeniami exex, txt, scr,
chm. Modyfikacji poddawane są następujące klucze, w których trojan
zmienia domyślne wartości na następujące:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMonitor %windir%\%system%\Msinter.exe
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
%windir%\%system%\Notepd.exe "%1" %*
HKEY_CLASSES_ROOT\txtfile\shell\open\command
%windir%\%system%\Notepd.exe "%1"
HKEY_CLASSES_ROOT\scrfile\shell\open\command
%windir%\Nuscr.exe "%1"
HKEY_CLASSES_ROOT\chm.file\shell\open\command
%windir%\Nuscr.exe "%1"
Dodatkowo trojan dodaje też swój wpis w pliku win.ini następującej
treści: run=%windir%\Mobbs.exe.
Aktywny trojan w systemie pozwala na przejęcie kontroli nad komputerem
ofiary poprzez sieć.
Lamecada
Lamecada jest robakiem internetowym, którego działanie polega
na rozsyłaniu własnych kopii za pomocą poczty elektronicznej przy
użyciu programu Microsoft Outlook lub Outlook Express.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika
do listu elektronicznego o następujących parametrach:
Temat: Internet Explorer Bugs Fix Setup
Treść:
Please run this setu to fix some
problem your Internet Explorer Browser
Open the file : setup.exe
Załącznik: Setup.exe
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy
na dysku następujące pliki: W32.worm.calamida.exe, Setup.exe,
3Dfx.dll w katalogu Windows i w katalogu systemowym. Dodatkowo
robak modyfikuje tak rejestr by jego kopia w pliku W32.worm.calamida.exe
była uruchamiana przy każdym starcie systemu Windows.
Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej
do wszystkich adresatów znajdujących się w książce adresowej systemu
Windows. Do dokonania wysyłki wymagany jest program Microsoft
Outlook.
Guz
Fałszywy alarm.
Tomek ma 14 lat. W zeszlym miesiacu Tomek
dowiedzial sie, ze w jego mozgu znajduje
sie guz. Z kazdym dniem stan Tomka sie pogarsza.
Guz coraz bardziej zaczyna uciskac mozg,
powodujac tym samym powolna i bolesna
smierc Tomka.
Poza tym mozna u niego juz wykryc poczatki
uposledzenia umyslowego. Jego rodzina jest
bardzo biedna i nie ma pieniedzy na operacje.
Tomek dzieki niej uniknie smierci, ale juz
do konca zycia bedzie uposledzony.
Dlatego wlasnie Portal Onet.pl postanowil
pomoc Tomkowi. Za kazdy e-mail bedzie wplacal
symboliczna zlotowke na konto Tomka.
Wystarczy jesli 7500 osob otrzyma ta wiadomosc.
A wiec jesli masz choc troche dobrej woli i
dobre serce przeslij ta wiadomosc do wszystkich,
ktorych masz w ksiazce adresowej.
Bedziesz mial swiadomosc, ze moze wlasnie dzieki
Tobie Tomek bedzie zyl.
To w koncu moglo sie przytrafic takze Tobie.
Henpeck
Henpeck jest robakiem internetowym, którego działanie polega na
rozprzestrzenianiu się za pośrednictwem programu MSN Messenger
oraz wykradaniu określonych danych z zainfekowanego komputera.
Zwykle robak pojawia się w komputerze ofiary w postaci pliku BR2002.exe.
Po uruchomieniu przez użytkownika pliku robaka wyświetla on okienko
przypominające generator kluczy do płyt CD, posiadający dwa przyciski
Generate i Quit. Jeżli użytkownik wybierze opcję Generate robak
generuje klucz, a w tym czasie w tle stara się rozesłać poniższą
wiadomość do wszystkich osób znajdujących się na liście kontaktów
w programie MSN Messenger.
Hey!! Could you please check this program for me? :)
I made it myself and want people to test it.
Its a readme with the program that explains what it does!
[link] <- There you can download it!
give me advices on what to upgrade please!!
Kliknięcie na link w wiadomości przenosi na stronę w Rosji, która
w tej chwili nie jest już dostępna, a skąd adresaci powyższej
wiadomości mogli pobrać plik robaka.
Dodatkowo robak stara się pobrać z tej strony dwa pliki, które
zapisuje na dysku pod nazwami: C:\Update35784.exe i C:\Hehe2397824.exe.
Na koniec robak stara się wykraść klucze dla gry Half-Life Counterstrike
zapisane w rejestrze, jeżli istnieją na komputerze ofiary.
Worm_Pakger.A
WORM_PAKGER.A (PAKGER.A) jest niedestrukcyjnym robakiem rozprzestrzeniającym
się za pomocą programu Kazaa i jego udostępnionych katalogów.
Kopiuje się do udostępnionego katalogu przybierając nazwę dowolnego
niewykonywalnego pliku, ale z rozszerzeniem EXE.
Robak próbuje połączyć się z serwerem IRC, aby poinformować autora
wirusa, że zainfekowany użytkownik jest dostępny.
Podczas wykonywania robak wyświetla okno, które ma na celu oszukanie
użytkownika, który myśli, że jest to program do usuwania robaka,
podobny do programu antywirusowego. Wiadomość jest następująca:
AVP-Antiviral Toolkit Pro
Drive to scan and clean PackAger I-Worm
AVP is NOT FREE/SHAREWARE
You have to register AVP for new benefits
This software will run once on this computer.
ready to scan..
Wiadomość zawiera przycisk SCAN NOW, po kliknięciu którego
robak udaje proces skanowania. Wtedy następuje instalacja robaka,
po zakończeniu której prosi o zrestartowanie komputera, wyświetlając
komunikat:
AVP-Antiviral Toolkit Pro
Rebooting now to finish the disinfection
Wirus kopiuje się do katalogu Windows z losową nazwą.
Robak wykrywany jest przez programy firmy TREND Micro z bazą wirusów
362.