Latest Threats 23/09/03 W32.Israz.B@mm

Συζητήσεις και νέα σχετικά με την ασφάλεια των υπολογιστών και των virus που τους προσβάλουν...

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
Expl0it
Honorary Member
Δημοσιεύσεις: 2364
Εγγραφή: 25 Αύγ 2003 23:24
Τοποθεσία: home/sweet/home

Latest Threats 23/09/03 W32.Israz.B@mm

Δημοσίευση από Expl0it » 24 Σεπ 2003 16:24

W32.Israz.B@mm

* Σημείωση : Οι πληροφορίες που δίνονται για τον καθαρισμό του ιού απο τον υπολογιστή σας,
είναι για προγράμματα αντιμετώπισης ιών της SYMANTEC


O W32.Israz.B@mm είναι ένας mass-mailing worm που χρησιμοποιεί την δική του μηχανή SMTP για να σταλεί σε όλες τις επαφές που υπάρχουν στο Windows Address Book και στο Outlook Address Book.

Αυτή η απειλή είναι γραμμένη σε Microsoft Visual Basic.

Είδος : Worm

Λειτουργικά Συστήματα που έχουν μολυνθεί : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Λειτουργικά Συστήματα που δεν έχουν μολυνθεί : DOS, Linux, Macintosh, OS/2, UNIX


Όταν ο W32.Israz.B@mm τρέξει για πρώτη φορά στον υπολογιστή σας εκτελεί τις παρακάτω ενέργειες :

1 Αντιγράφεται ώς τα παρακάτω :

%System%\Service.exe, του οποίου οι ιδιότητες τίθενται ως Hidden, System, και Archive
%System%\Notpad.exe, του οποίου οι ιδιότητες τίθενται ως Hidden, System, και Archive
%System%\Source.dat
%System%\Game.exe

* Σημείωση : Το %System% είναι μια μεταβλητή. Το worm εντοπίζει το φάκελο συστημάτων και αντιγράφεται σε εκείνη την θέση. Εξ ορισμού, αυτό είναι C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ή C:\Windows\System32 (Windows XP).

2 Δημιουργεί το αρχείο, %System%\OSSMTP.dll, το οποίο είναι μια βιβλιοθήκη Visual Basic, που υποστηρίζει την αποστολή του email. Αυτό το αρχείο δεν είναι προερχόμενο από τον ιό και επομένως, τα προϊόντα αντιμετώπισης ιών της Symantec δεν το ανιχνεύουν.

3 Προσθέτει τις τιμές :

"Config"="%System%\service.exe"

Στο Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


4 Τροποποιεί την προκαθορισμένη τιμή στο Registry Key :

HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command

σε :

@="%System%\notpad.exe %1"


5 Δημιουργεί το παρακάτω Registry Key :

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Tips

6 Ανακτά το όνομα του παρόντος χρήστη SMTP, το email του και τη διεύθυνση IP του κεντρικού υπολογιστή SMTP από την Registry.

7 Ανακτά τις διευθύνσεις email από το Windows Address Book και από το Outlook Address Book.

8 Στέλνεται στα email που βρίσκει.

Το email έχει τα ακόλουθα χαρακτηριστικά :

Subject: Your file is attached to message.
Message:
Hi!, it's me !!!
I sent you a new game for our great friendship, open it, and enjoy.
Attachment: game.exe

ή

From: windows@microsoft.com
Subject: Something new for you
Message:
Did you know...
This is one tip of many tips that can help you use your computer easily and simply.
Open the file attached, and enjoy.
Attachment: tips.exe


9 Προσπαθεί να διαδοθεί μέσω μερικών δικτύων διανομής αρχείων, όπως τά :

KaZaA
Morpheus
eMule
eDonkey2000
BearShare
iMesh


Το worm εντοπίζει τους φακέλους κοινής διανομής μέσο της Registry και αντιγράφεται ως ένα από τα εξής:

I.G.I 2 Crack.exe
GTA Vice City Crack.exe
Nero KeyGen.exe
Splinter Cell Crack.exe
WinISO 5.3 KeyGen.exe
WinZip KeyGen.exe

* Σημείωση : Το worm επισυνάπτει μερικά στοιχεία απορριμάτων στο τέλος του αντιγράφου, και επομένως, το μέγεθος των αρχείων μπορεί να ποικίλει.


10 Δημιουργεί ένα Hidden, System και Archive αρχείο space.sys στο φάκελο ROOT καθενός απο τα Drive.


ΟΔΗΓΕΙΕΣ ΚΑΘΑΡΙΣΜΟΥ ΤΟΥ W32.Israz.B@mm ΑΠΟ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΑΣ

1) Θέστε εκτός λειτουργίας το System Restore (Windows Me/XP).
2) Κάντε Update τα virus definitions.
3) Κάντε ένα Full system scan και διαγράψτε όλα τα αρχεία που θα εντοπισθούν ως W32.Israz.B@mm. Διαγράψτε το Space.sys αρχείο από όλους τους φακέλους ROOT.
4) Αντιστρέψτε τις αλλαγές που έγιναν στην Registry.

Για περισσότερες πληροφορίες σχτικά με τον W32.Israz.B@mm πατήστε ΕΔΩ


Filter

Εικόνα

Greek Web Angel

Απάντηση

Επιστροφή στο “Security, antiVirus & antiSpyWare”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες