 W32.Beagle.A@mm, W32/Bagle.j@MM, WORM_Bagle.J, Win32.Bagle.J,
W32/Bagle-J
W32.beagle.A@mm je mass-mail crv koji otvara TCP port 2745 i koristi sopstveni
SMTP kako bi se širio putem email-a.
TakoDJe, pokuShava da se širi i kroz npr. Kazaa program postavljajuci
se u foldere čije ime sadrži "shar" pod lažnim imenom (ACDSee
9.exe, Adobe Photoshop 9 full.exe, Ahead Nero 7.exe, Matrix 3, Revolution
English Subtitles.exe, Microsoft Office 2003 Crack, Working!.exe, Microsoft
Office XP working Crack, Keygen.exe, Microsoft Windows XP, WinXP Crack,
working Keygen.exe, Opera 8 New!.exe
Porno pics arhive, xxx.exe, Porno Screensaver.scr, Porno, sex, oral, anal
cool, awesome!!.exe, Serials.txt.exe, WinAmp 5 Pro Keygen Crack Update.exe,
WinAmp 6 New!.exe, Windown Longhorn Beta Leak.exe, Windows Sourcecode
update.doc.exe, XXX hardcore images.exe)
Zaraženi email ima sledeće karakteristike:
Polje "from":
lažirano je kao da dolazi sa jednog od sledećih naloga na domenu primaoca
- management
- administration
- staff
- noreply
- support
Attachment:
nasumičnog imena, sa ekstenzijom .exe koja se nalazi unutar .zip ili
.pif fajla. Prikačeni fajl je veličine 13KB.
Subject:
- E-mail account disabling warning.
- E-mail account security warning.
- Email account utilization warning.
- Important notify about your e-mail account.
- Notify about using the e-mail account.
- Notify about your e-mail account utilization.
- Warning about your e-mail account
Telo poruke:
Može biti različite sadržine, a kao potpis stoji:
- The Management,
- Sincerely,
- Best wishes,
- Have a good day,
- čeers,
- Kind regards,
The <ime_domena (infosky.net)> team http://www.<ime_domena(infosky.net)>
Preporuka:
Program i uputstvo za skidanje ovog virusa možete naći na Symantec adresi.
|
| W32.Novarg.A@MM, W32/Mydoom@MM, W32/Mydoom.A
W32.Novarg.A@mm je worm virus koji se širi putem mail-a, a stiže
kao attachment sa ekstenzijama:
.bat, .cmd, .exe, .pif, .scr, ili .zip.
Na inficiranom računaru, crv će postaviti trojanca u sistem i otvoriti
TCP portove 3127-3198 što dozvoljava napadaču da se poveže sa računarom
i iskoristi ga kao proxy.
Crv ce izvršiti Denial of Service (DoS) napad 1.februara 2004.godine.
Tako¥e, podešen je da prestane sa širenjem 12-og februara, mada će trojanac
biti aktivan i posle tog datuma.
Subject poruke može biti:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Telo poruke:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary
attachment.
The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.
test
Attachment:
document
readme
doc
text
file
data
test
message
body
Virus se kopira i u KaZaA folder kao
jedan od sledećih fajlova:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
sa ekstenzijama:
.pif
.scr
.bat
.exe
Preporuka:
Program i uputstvo za skidanje ovog virusa
možete naći na Symantec adresi.
|
| W32.Lirva.c@MM
W32Lirva.c je worm virus koji se ¹iri putem mail-a, a za ¹irenje
može da koristi deljene mrežne foldere, ICQ, IRC, i KaZaA
mrežu.
Pri otvaranju poruke worm se automatski aktivira koristeći 'rupu'
u Microsoft Internet Explorer (ver 5.01 ili 5.5 bez SP2) : Incorrect MIME
Header Can Cause IE to Execute E-mail Attachment vulnerability
Inficirani e-mail ima sledeće osobine:
- Subject može biti:
Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purge's Statement
Fw: Avril Lavigne - čART ATTACK!
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/AćELS Transcriptions
Re: IREX admits you to take in FSAU 2003
Fwd: Re: Have U requested Avril Lavigne bio? Re:
Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters - don't miss it!
Fwd: RFC-0245 Specification requested...
Fwd: RFC-0841 Specification requested...
Fw: F. M. Dostoyevsky "Crime and Punishment"Re: Junior Achievement
Re: Ha perduto qualque cosa signora?
- Telo poruke može biti:
"AVRIL LAVIGNE - THE čART ATTACK! Vote
fo4r Complicated! Vote fo4r Sk8er Boi! Vote fo4r I'm with
you! čart attack active list:"
ili
"Restricted area response team
(RART) Attachment you sent to %s is intended to overwrite start address
at
0000:HH4F To prevent from the further buffer overflow attacks apply the
MSO-patch"
ili
"Network Associates weekly report:
Microsoft has identified a security vulnerability in MicrosoftIIS 4.0
and 5.0 that is eliminated by a previously-released patch. Customers who
have applied that patch are
already protected against the vulnerability and do not need to take additional
action. Microsoft strongly urges
all customers using IIS 4.0 and 5.0 who have not already done so to apply
the patch immediately. Patch is
also provided to subscribed list of Microsoft Tech Support:"
ili
"AVRIL LAVIGNE - THE BEST Avril
Lavigne's popularity increases: SO: First, Vote on TRL for I'm With U!
Next, Update your pics database! čart attack active list .>.>Orginal
Message:"
-Ime Attachment-a je izabrano iz sledeće
liste:
Resume.exe ADialer.exe MSO-Patch-0071.exe MSO-Patch-0035.exe Two-Up-Secretly.exe
Transcripts.exe
Readme.exe AvrilSmiles.exe AvrilLavigne.exe Complicated.exe TrickerTape.exe
Sophos.exe
Cogito_Ergo_Sum.exe CERT-Vuln-Info.exe Sk8erBoi.exe IAmWiThYoU.exe Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe BioData.exe ALavigne.exe
Po startovanju attachment-a, virus se kopira
u Windows System directorijum i modifikuje registry ključ (Win9x):
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Avril Lavigne - Muse
="%System%\1cdg5fD47He.EXE"
Takodje, kreira nov registry ključ za logove:
"HKLM\Software\OvG\Avril Lavigne"
Preko IRC-a se širi kreirajuci novi
" script.ini" u mIRC direktorijum.
Kopira se u default download direktrorijum KaZaA instalacije.
Kopira se u RECYCLED folder mapiranog mrežnog drajva, i dodaje
liniju u "autoexec.bat" npr.:
"@win \RECYCLED\94170eaB.exe"
Locira instalciju ICQ-a i šalje se
na sve kontakte.
Da bi onemogucio startovanje AV programa
prekida sledece procese:
KPF.EXE KPFW32.EXE _AVPM.EXE AUTODOWN.EXE AVKSERV.EXE AVPUPD.EXE BLACKD.EXE
CFIND.EXE
CLEANER.EXE ECENGINE.EXE F-PROT.EXE FP-WIN.EXE IAMSERV.EXE ICLOADNT.EXE
IFACE.EXE
LOOKOUT.EXE N32SCAN.EXE NAVW32.EXE NORMIST.EXE PADMIN.EXE PćWIN98.EXE
RAV7WIN.EXE
SCAN95.EXE SMC.EXE TCA.EXE VETTRAY.EXE VSSTAT.EXE ACKWIN32.EXE AVCONSOL.EXE
AVPNT.EXE
AVPDOS32.EXE AVSčED32.EXE BLACKICE.EXE EFINET32.EXE CLEANER3.EXE ESAFE.EXE
F-PROT95.EXE
FPROT.EXE IBMASN.EXE ICMOON.EXE IOMON98.EXE LUALL.EXE NAVAPW32.EXE NAVWNT.EXE
NUPGRADE.EXE PAVCL.EXE PCFWALLICON.EXE RESCUE.EXE SCANPM.EXE SPHINX.EXE
TDS2-98.EXE
VSSCAN40.EXE WEBSCANX.EXE WEBSCAN.EXE ANTI-TROJAN.EXE AVE32.EXE AVP.EXE
AVPM.EXE
AVWIN95.EXE CFIADMIN.EXE CLAW95.EXE DVP95.EXE ESPWATč.EXE F-STOPW.EXE
FRW.EXE
IBMAVSP.EXE ICSUPP95.EXE JED.EXE MOOLIVE.EXE NAVLU32.EXE NISUM.EXE NVC95.EXE
NAVSčED.EXE PERSFW.EXE SAFEWEB.EXE SCRSCAN.EXE SWEEP95.EXE TDS2-NT.EXE
VSECOMR.EXE
WFINDV32.EXE AVPć.EXE _AVPć.EXE APVXDWIN.EXE AVGCTRL.EXE _AVP32.EXE
AVPTC32.EXE
AVWUPD32.EXE CFIAUDIT.EXE CLAW95CT.EXE DV95_O.EXE DV95.EXE F-AGNT95.EXE
FINDVIRU.EXE
IAMAPP.EXE ICLOAD95.EXE ICSSUPPNT.EXE LOCKDOWN2000.EXE MPFTRAY.EXE NAVNT.EXE
NMAIN.EXE OUTPOST.EXE NAVW.EXE RAV7.EXE SCAN32.EXE SERV95.EXE TBSCAN.EXE
VET95.EXE
VšWIN32.EXE ZONEALARM.EXE AVPMON.EXE AVP32.EXE
Virus još pretražuje c:\ , %Windows%
i njihove poddirektorijume u potrazi za fajlovima index.htm index.html
default.htm default.html. Ako nadje neki od njih, kopira se u taj direktorijum
dodajući svoj kod koji počinje sa markerom: [!--ALAVIGNE--] da bi pokrenuo
fajl u IFRAME-u.
Na datume 7-og , 11-og i 24-og dana svakog
meseca, otvara Web browser na strani http :// www. avril-lavigne.com,
i postavlja sliku na desktop.
Preporuka:
Instalirajte zakrpu
za IE.
Ažurirajte virusne definicije Vašeg AV programa
Program i uputstvo za skidanje ovog virusa možete naći na
Symantec adresi.
|
| I-Worm.Tanatos
- "Bugbear"
Ovaj
worm virus visokog rizika ¹iri se Internettom putem maila. Takodje,
kopira se i preko lokalne mreže na ¹erove otvorene za full
access. Virus ima sledeće osobine:
- sam virus je pisan u MS Visual C-u, zapakovan
je UPX-om i veličIne je oko 50K. Ima osobinu da ¹alje sam
sebe (e-mailom!)
- inficirane poruke imaju različit subject, tekst poruke i ime
prikačenog fajla
- mogućnost lažiranja FROM polja (informacija sa koje adrese je
virus došao). U ovo polje work često stavlja bilo koju adresu iz address
book-a računara kao i kombinacije delova adrese (iskombinuje korisnik1@domen1.yu
sa korisnik2@domen2.yu i napiše da je virus poslao korisnik1@domen2.yu!!!)
- prilikom instaliranja worm se kopira u Win system folder sa proizvoljnim
imenom i registrujte taj fajl kao auto-run u:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
U isti (Win system) folder virus stavlja i DLL proizvoljnog imena koji
koristi za praćenje unosa preko tastature
- pri otvaranju poruke worm se automatski aktivira koristeći 'rupu'
u Microsoft Internet Explorer (ver 5.01 ili 5.5 bez SP2) : Incorrect MIME
Header Can Cause IE to Execute E-mail Attachment vulnerability
- sadrži backdoor trojan virus u sebi koja otvara TCP port 36794
i postupa kao udaljeni server, dozvoljavajući napadaču da lako manipuliše
fajlovima inficiranog računara i upravljanje procesima (send / receive
/ copy / execute fajlova i gašenje procesa)
- virus dalje šalje sam sebe na adrese sa inficiranog računara. U samom
kodu virusa postoje odredjen reči koje se pojavljuju u subjectu i tekstu
poruke ili kao ime attachmenta, ali većina primljenih virusa ukazuje na
to da virus koristi reči tj. imena fajlova sa inficiranog računara
- pokušava da stopira rad svih firewall i antivirus programa
- virus ume da šalje zahteve za štampu svim mreznim štampačima. To je
izazvano time što se kopija ovog worma nalazi u redu za štampu i moze
imati oko 500 stranica.
Programi za skidanje ovog virusa:
- Nortonov fxbgbear.exe 174K
- AVP v clrav.com v 7.01 92K
|
