Latest Threats 17/09/03 W32.Yaha.AB@mm

Συζητήσεις και νέα σχετικά με την ασφάλεια των υπολογιστών και των virus που τους προσβάλουν...

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
Expl0it
Honorary Member
Δημοσιεύσεις: 2364
Εγγραφή: 25 Αύγ 2003 23:24
Τοποθεσία: home/sweet/home

Latest Threats 17/09/03 W32.Yaha.AB@mm

Δημοσίευση από Expl0it » 18 Σεπ 2003 17:57

W32.Yaha.AB@mm

* Σημείωση : Οι πληροφορίες που δίνονται για τον καθαρισμό του ιού απο τον υπολογιστή σας,
είναι για προγράμματα αντιμετώπισης ιών της SYMANTEC


Ο W32.Yaha.AB@mm :
* Είναι ένα worm παραλλαγή του W32.Yaha.T@mm.

* Τερματίζει κάποιες εργασίες των Antivirus και των Firewalls.

* Χρησιμοποιεί τη μηχανή SMTP του για να στείλει με email το ίδιο σε όλες τις επαφές στο βιβλίο διευθύνσεων Windows, MSN Messenger, .NET Messenger, Yahoo Pager, ICQ Pager, καθώς επίσης και σε όλα τα αρχεία των οποίων οι επεκτάσεις περιέχουν τα γράμματα ΗΤ.

* Εγκαθιστά ένα keylogger και στέλνουν τις πληροφορίες στο διαχειριστή του.

* Περιέχει ένα καταστρεπτικά ωφέλιμο φορτίο, το οποίο μπορεί να προκληθεί εάν το timezone συστημάτων είναι GMT+5.

* Εκτελεί επιθέσεις υπηρεσιών (DoS) σε μερικούς προσδιορισμένους hosts και τυχαίους hosts στις ports 80, 135, 139, και 445.

Το email έχει κάποιο τυχαία επιλεγμένο θέμα, και όνομα attachment . Το attachment μπορεί να έχει .com, .exe, .scr, ή .zip επέκταση αρχείου.
Αυτή η απειλή είναι φτιαγμένη σε Microsoft C++ και είναι συμπιεσμένη με FSG.

Επίσης γνωστό ως : I-Worm.Lentin.q[KAV], W32/Lentin.S@mm[F-Prot]
Παραλλαγές : W32.Yaha.T@mm.
Είδος : Worm

Λειτουργικά Συστήματα που έχουν μολυνθεί : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Λειτουργικά Συστήματα που δεν έχουν μολυνθεί :DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x

ΤΕΧΝΙΚΕΣ ΛΕΠΤΟΜΕΡΙΕΣ

Όταν ο W32.Yaha.AB@mm τρέξει για πρώτη φορά στον υπολογιστή σας εκτελεί τις παρακάτω ενέργειες :

1 Αντιγράφεται ώς τα παρακάτω αρχεία και ορίζει την ιδιότητα τους ως κρυμμένα :

%System%\EXPLORERE.EXE
%System%\EXELD32.EXE

2 Μπορεί να αντιγραφεί στον φάκελο %Windows% ως:

Love.scr
Project.exe
Romantic.scr
FixKlez.com
FixElkern.com
Cupid.scr
Notes.exe
MyPic.scr
FreakOut.exe
THEROCK.scr
Britney_Sample.scr
zXXX_BROWSER.exe
Valentines_Day.scr
Beautifull.scr
Ways_To_Earn_Money.exe
MyProfile.scr
My_Sexy_Pic.scr
KOF.exe
King_of_Figthers.exe
KOF2002.exe
KOF_The_Game.exe
KOF_Demo.exe
KOF_Sample.exe
KOF_Fighting.exe
Hacker.scr
Romeo_Juliet.scr
Free_Love_Screensavers.scr
Ravs.scr
zDenka.scr
Jenna_Jemson.scr
Sexy_Jenna.scr
Sweetheart.scr
up_life.scr
World_Tour.scr
Hacker_The_LoveStory.scr
VXer_The_LoveStory.scr
Services.scr
Body_Building.scr
Peace.scr
Screensavers.scr
xxx4Free.scr
Hardcore4Free.scr
Playboy.scr
Plus2.scr
Plus6.scr
Real.scr
Sex.scrSoccer.scr
Stone.scr
I_Love_You.scr
SQL_4_Free.scr
Codeproject.scr
The_Best.scr

3 Θέτει το ορισμένο στο Registry Key:

HKEY_CLASSES_ROOT\exefile\shell\open\command

Σε :

"%System%\EXELD32.EXE""%1"%*

4 Προσθέτει τις τιμές :

"MicrosoftServiceManager"="%System%\EXPLORERE.EXE"

Στα παρακάτω Registry Keys:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

5 Απαριθμεί τις ενεργές διαδικασίες, και εάν το όνομα της διαδικασίας περιέχει οποιωδήποτε από τις ακόλουθες συμβολοσειρές, το worm θα προσπαθήσει να τερματίσει εκείνη την διαδικασία :
_AVP32
_AVP32.EXE
_AVPCC
_AVPCC
_AVPCC.EXE
_AVPM
_AVPM.EXE
AckWin32
AckWin32
ACKWIN32
AckWin32.exe
AckWin32.exe
ACKWIN32.EXE
ADVXDWIN
ADVXDWIN.EXE
agentw.exe
ALERTSVC
ALERTSVC.EXE
ALOGSERV
alogserv
ALOGSERV
alogserv.exe
ALOGSERV.EXE
AMON9X
AMON9X.EXE
ANTI-TROJAN
ANTI-TROJAN.EXE
ANTS
ANTS.EXE
APVXDWIN
apvxdwin
APVXDWIN.EXE
apvxdwin.exe
ATCON
ATCON.EXE
ATUPDATER
ATUPDATER.EXE
ATWATCH
ATWATCH.EXE
AUTODOWN
AutoDown
AUTODOWN
AUTODOWN.exe
AutoDown.exe
AUTODOWN.EXE
AutoTrace
AutoTrace.exe
AVCONSOL
AVCONSOL.EXE
AVGCC32
AVGCC32
AVGCC32.EXE
AVGCC32.EXE
AVGCTRL
Avgctrl
AVGCTRL.EXE
Avgctrl.exe
AvgServ
AVGSERV
AvgServ
AVGSERV
AVGSERV.EXE
AVGSERV.EXE
AVGSERV9
AVGSERV9.EXE
AVGW
AVGW.EXE
avkpop
avkpop.exe
AvkServ
AvkServ.exe
avkservice
avkservice.exe
avkwctl9
avkwctl9.exe
AVP
AVP.EXE
AVP32
AVP32.EXE
AVPCC
avpm
avpm
AVPM
avpm.exe
AVPM.EXE
Avsched32
Avsched32.exe
AvSynMgr
AVSYNMGR
AVSYNMGR
AvSynMgr
AVSYNMGR
AVSYNMGR.exe
AVWINNT
AVWINNT.EXE
AVXMONITOR9X
AVXMONITOR9X
AVXMONITOR9X.EXE
AVXMONITOR9X.EXE
AVXMONITORNT
AVXMONITORNT
AVXMONITORNT.EXE
AVXMONITORNT.EXE
AVXQUAR
AVXQUAR
AVXQUAR.EXE
AVXQUAR.EXE.EXE
AVXW
AVXW.EXE
blackd
BLACKD
blackd.exe
BLACKD.EXE
BlackICE
BlackICE.exe
CDP.EXE
cfgWiz
cfgWiz.exe
Claw95
Claw95
CLAW95
Claw95.exe
Claw95.exe
CLAW95.EXE
Claw95cf
CLAW95CF
Claw95cf.exe
CLAW95CF.EXE
cleaner
cleaner.EXE
cleaner3
cleaner3.EXE
CMGRDIAN
CMGrdian
CMGRDIAN
CMGRDIAN.EXE
CONNECTIONMONITOR
CONNECTIONMONITOR.EXE
CPD
cpd.exe
cpd.exe
CPDClnt
CPDCLNT.EXE
CPDClnt.exe
CTRL
CTRL.EXE
defalert
defalert.exe
defscangui
defscangui.exe
DEFWATCH
DEFWATCH.EXE
DOORS
DOORS
DOORS.EXE
DOORS.EXE
DVP95
DVP95.EXE
DVP95_0
DVP95_0.EXE
EFPEADM
EFPEADM
EFPEADM.exe
EFPEADM.EXE
ETRUSTCIPE
ETRUSTCIPE
ETRUSTCIPE.exe
ETRUSTCIPE.EXE
EVPN
EVPN
EVPN.exe
EVPN.EXE
EXPERT
EXPERT.EXE
F-AGNT95
F-AGNT95.EXE
fameh32
fameh32.exe
fch32
fch32.exe
fih32
fih32.exe
fnrb32
fnrb32.exe
F-PROT
F-PROT.EXE
F-PROT95
F-PROT95.EXE
FP-WIN
FP-WIN.EXE
FRW
FRW
FRW.EXE
FRW.EXE
fsaa
fsaa.exe
fsav32
fsav32.exe
fsgk32
fsgk32.exe
fsm32
fsm32.exe
fsma32
fsma32.exe
fsmb32
fsmb32.exe
f-stopw
F-STOPW
f-stopw.exe
F-STOPW.EXE
gbmenu
gbmenu.exe
GBPOLL
gbpoll
GBPOLL.EXE
gbpoll.exe
GENERICS
GENERICS.EXE
GUARD
GUARD
GUARD.EXE
GUARD.EXE
GUARDDOG
GUARDDOG.EXE
iamapp
IAMAPP
IAMAPP
iamapp.exe
IAMAPP.EXE
IAMAPP.EXE
iamserv
IAMSERV
iamserv.exe
IAMSERV.EXE
IAMSTATS
IAMSTATS.EXE
ICLOAD95
ICLOAD95.EXE
ICLOADNT
ICLOADNT
ICLOADNT.EXE
ICLOADNT.EXE
ICMON
ICMON.EXE
ICSUPP95
ICSUPP95
ICSUPP95.EXE
ICSUPP95.EXE
ICSUPPNT
ICSUPPNT.EXE
IFACE
IFACE.EXE
IOMON98
IOMON98
IOMON98.EXE
IOMON98.EXE
ISRV95
ISRV95.EXE
JEDI
JEDI.EXE
LDNETMON
LDNETMON.EXE
LDPROMENU
LDPROMENU.EXE
LDSCAN
LDSCAN.EXE
LOCKDOWN
LOCKDOWN.EXE
lockdown2000
LOCKDOWN2000
lockdown2000.exe
LOCKDOWN2000.EXE
LUALL
LUALL.EXE
LUCOMSERVER
LUCOMSERVER.EXE
LUSPT
LUSPT.exe
MCAGENT
MCAGENT.EXE
MCMNHDLR
MCMNHDLR.EXE
Mcshield.exe
MCTOOL
MCTOOL.EXE
MCUPDATE
MCUPDATE.EXE
MCVSRTE
MCVSRTE.EXE
MCVSSHLD
MCVSSHLD.EXE
MGAVRTCL
MGAVRTCL.EXE
MGAVRTE
MGAVRTE.EXE
MGHTML
MGHTML.EXE
MINILOG
MINILOG.EXE
Monitor
MONITOR
Monitor.exe
MONITOR.EXE
MOOLIVE
MOOLIVE.EXE
MPFAGENT.EXE
MPFSERVICE
MPFSERVICE.exe
MPFTRAY.EXE
MWATCH
MWATCH
MWATCH.exe
MWATCH.EXE
NAV Auto-Protect
NAV Auto-Protect
NAVAP
NAVAP
navapsvc
navapsvc
NAVAPSVC.EXE
navapsvc.exe
navapw32
NAVAPW32
NAVAPW32.EXE
NAVENGNAVEX15
NAVENGNAVEX15
NAVLU32
NAVLU32.EXE
Navw32
NAVW32
Navw32.exe
NAVWNT
NAVWNT.EXE
NDD32
NDD32.EXE
NeoWatchLog
NeoWatchLog.exe
NETUTILS
NETUTILS.EXE
NISSERV
NISSERV
NISSERV.EXE
NISSERV.EXE
NISSERV.EXE
NISUM
NISUM
NISUM.EXE
NISUM.EXE
NMAIN
NMAIN.EXE
NORMIST
NORMIST
NORMIST.EXE
NORMIST.EXE
notstart
notstart.exe
NPROTECT
NPROTECT.EXE
npscheck
npscheck.exe
NPSSVC
NPSSVC.EXE
NSCHED32
NSCHED32.EXE
ntrtscan
ntrtscan.EXE
NTVDM
NTVDM.EXE
NTXconfig
NTXconfig.exe
Nui.EXE
Nupgrade
Nupgrade.exe
NVC95
NVC95
NVC95.EXE
NVC95.EXE
NVSVC32
NVSVC32
NWService
NWService.exe
NWTOOL16
NWTOOL16.EXE
PADMIN
PADMIN.EXE
PAVPROXY
pavproxy
PAVPROXY.EXE
pavproxy.exe
PCCIOMON
PCCIOMON
PCCIOMON.EXE
PCCIOMON.EXE
pccntmon
pccntmon.EXE
pccwin97
pccwin97.EXE
PCCWIN98
PCCWIN98.EXE
pcscan
pcscan.EXE
PERSFW
PERSFW.EXE
PERSWF
PERSWF.EXE
POP3TRAP
POP3TRAP.EXE
POPROXY
POPROXY.EXE
PORTMONITOR
PORTMONITOR.EXE
PROCESSMONITOR
PROCESSMONITOR.EXE
PROGRAMAUDITOR
PROGRAMAUDITOR.EXE
PVIEW95
PVIEW95.EXE
rapapp.exe
RAV7
RAV7.EXE
RAV7WIN
RAV7WIN.EXE
REALMON
REALMON.EXE
Rescue
RESCUE
Rescue.exe
RESCUE.EXE
RTVSCN95
RTVSCN95.EXE
RULAUNCH
RULAUNCH.EXE
sbserv
sbserv.exe
SCAN32
SCAN32.EXE
SCRSCAN
SCRSCAN.EXE
Smc
SMC.EXE
Sphinx
SPHINX
Sphinx.exe
SPHINX.EXE
SPYXX
SPYXX.EXE
SS3EDIT
SS3EDIT.EXE
SWEEP95
SWEEP95.EXE
SweepNet
SweepNet
SWEEPSRV.SYS
SWEEPSRV.SYS
SWNETSUP
SWNETSUP.EXE
SymProxySvc
SymProxySvc.exe
SYMTRAY
SYMTRAY.EXE
TAUMON
TAUMON.EXE
TC.EXE
TCA
TCA.EXE
TCM
TCM.EXE
TDS-3
TDS-3.EXE
TFAK
TFAK.EXE
vbcmserv
vbcmserv
vbcmserv.exe
vbcmserv.exe
VbCons
VbCons
VbCons.exe
VbCons.exe
VET32
VET32
VET32.exe
VET32.EXE
Vet95
VET95
Vet95.exe
VET95.EXE
VetTray
VETTRAY
VetTray.exe
VETTRAY.EXE
VIR-HELP
VIR-HELP.EXE
VPC32
VPC32.EXE
VPTRAY
VPTRAY.EXE
VSCHED
VSCHED.EXE
VSECOMR
VSECOMR
VSECOMR.EXE
VSECOMR.EXE
vshwin32
VSHWIN32
VSHWIN32
VSHWIN32.EXE
VSMAIN
VSMAIN.EXE
vsmon
vsmon.exe
VSMON.EXE
VSSTAT
VSSTAT
VSSTAT.EXE
WATCHDOG
WATCHDOG.EXE
WEBSCANX
WEBSCANX
WEBSCANX.EXE
WEBTRAP
WEBTRAP.EXE
WGFE95
WGFE95.EXE
WIMMUN32
WIMMUN32.EXE
WrAdmin
WRADMIN
WRADMIN
WrAdmin.exe
WRADMIN.EXE
WRADMIN.EXE
WrCtrl
WRCTRL
WRCTRL
WrCtrl.exe
WRCTRL.EXE
zapro
zapro.exe
zonealarm
zonealarm.exe
WINSERVICES
TCPSVS32
NAV32_LOADER
WINGATE.EXE
SYSHELP.EXE
WINMGM32.EXE
WINK
AAAA

6 Απαριθμεί τα ενεργά Windows, και εάν το όνομα του παραθύρου περιέχει οποιωδήποτε από τις ακόλουθες συμβολοσειρές, το worm θα προσπαθήσει να τερματίσει τη διαδικασία:

* Windows Task Manager
* System Configuration Utility
* Registry Editor
* Process Viewer

7 Προσπαθεί να διαγράψει τα παρακάτω αρχεία :

* %System%\WinServices.exe
* %System%\nav32_loader.exe
* %System%\tcpsvs32.exe
* %System%\syshelp.exe
* %System%\WinGate.exe
* %System%\WinRpcsrv.exe
* %System%\winmgm32.exe
* %Windir%\SNTMLS.DAT

8 Διαγράφειτις τιμές :

WinServices
syshelp
WinGate initialize
Module Call initialize
WindowsMGM

Απο το Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

9 Διαγράφει την τιμή : WinServices

Απο το Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

10 Διαγράφει την τιμή : WindowsMGM

Απο το Registry Key:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

11 Ψάχνει στο φάκελο "%Windir%\INETPUB\WWWROOT" αλλάζει όλα τα αρχεία που οι επεκτάσεις τους είναι "HTM" ή "HTML," με το παρακάτω κείμενο :

<BR><BR><BR><CENTER><B><U> Ha..Ha..Haaa...</CENTER></U></B>

12Ανιχνεύει όλους τους σταθερούς/απομακρυσμένους δίσκους και όλες τις κοινής χρήσης φακέλους και προσπαθεί να γίνουν τα εξής :

Αντιγράφεται ως "REGE32.EXE" στου φακέλους :

\WINDOWS
\WIN98
\WIN95
\WINNT
\WIN
\WINME
\WINXP

* Προσθέτει τις παρακάτω γραμμές στον τομέα [WINDOWS] του αρχείου "WIN.INI":

run=REGE32.EXE

* Αντιγράφεται στο "\Documents and Settings\All Users\Start Menu\Programs\Startup\MSRegScanner.exe"

13 Εισάγει τα παρακάτω αρχεία :

%Cookies%\anyuser@yahoo.com.txt malicous keylogger, ανιχνεύσιμο ώς Keylogger.Trojan
%Cookies%\cookie.dat αρχείο δεδομένων, παρακαλώ διαγράψτε μόνοι σας.
%System%\TASKMGR32.DLL αρχείο δεδομένων, παρακαλώ διαγράψτε μόνοι σας.

* Σημείωση :Το %Cookies% είναι μια μεταβλητή. Το worm εντοπίζει το φάκελο Cookies και εισάγει τον Keylogger.Trojan σε αυτή την τοποθεσία.

14 Εγκαθιστά έναν keyboard hook και στέλνει τις πληροφορίες στο email "keylogs20003@yahoo.com."

15 Εκτελεί επιθέσεις υπηρεσιών (DoS) σε μερικούς προσδιορισμένους hosts και τυχαίους hosts στις ports 80, 135, 139, και 445.

16 Εάν το timezone συστημάτων είναι GMT+5, μπορεί να γράψει απο πάνω απο τους σκληρούς δίσκους .

ΟΔΗΓΕΙΕΣ ΚΑΘΑΡΙΣΜΟΥ ΤΟΥ W32.Yaha.AB@mm ΑΠΟ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΑΣ

1 Κατεβάστε τα Updated Virus Definitions χρησιμοποιώντας το Intelligent Updater, αλλά μην τους εγκαταστήσετε.
2 Επανεκινήστε τον υπολογιστή σας σε ασφαλή χρήση (Safe mode).
3 Αντιγράψτε το αρχείο Regedit.exe στο Regedit.com.
4 Μπείτε στη Registry και αντιστρέψτε τις αλλαγές που έκανε το worm.
5 Επανεκινήστε τον υπολογιστή σας σε κανονική χρήση (Normal mode).
6 Ξεκινήστε το πρόγραμμα αντιμετώπισης ΙΩΝ (antivirus software). Εάν δεν δουλέυει σωστά ή εάν κολλάει συνεχώς, επανεγκαταστήστέ το.
7 Εγκαταστήστε το Intelligent Updater Virus Definitions που κατεβάσατε νωρίτερα.
8 Κάντε ένα Full System Scan Και Διαγράψτε Όλα Τα Αρχεία Που Θα Βρεθούν Ώς W32.Yaha.AB@mm και Keylogger.Trojan1.

Για Περισσότερες Πληροφορίες Για Τον W32.Yaha.AB@mm Πατήστε ΕΔΩ

Filter

Εικόνα

Greek Web Angel

Απάντηση

Επιστροφή στο “Security, antiVirus & antiSpyWare”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης