HomeHome  SDManija portalSDManija portal  CalendarCalendar  GalleryGallery  FAQ/УпутствоFAQ/Упутство  ТражиТражи  Листа члановаЛиста чланова  Корисничке групеКорисничке групе  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

December 2016
MonTueWedThuFriSatSun
   1234
567891011
12131415161718
19202122232425
262728293031 
CalendarCalendar
Oglasi

adhitz

 

W32/Apology-A

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin


Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 26
Локација : Smederevo

ПорукаНаслов: W32/Apology-A   3/7/2009, 15:56

VIRUS INFO
Naziv virusa: W32/Apology-A
Alias: Win32.Mtx, W32/MYX@mm, W32/Apology, W32/MTX, MTX.A, W32/MTX, I.Worm.MTX
Tip: Win32 izvršni fajl virus
Način širenja: e-mailom
Veličina:
Destruktivan:da ne
Datum aktiviranja:
Otkriven: 30.08.2000.

OBJAŠNJENJE
Ovo je kombinovani virus koji u sebi sadrži 3 komponente virusa: virus, e-mail crv i backdoor; virus menja sadržine fajlova, crv šalje e-mail a backdoor omogućava skidanje programa sa lokacije na Internetu.
Slanje e-maila je jedinstveno izvedeno pošto virus ne obraća pažnju koji program korisnik koristi, već na sam protok sa provajderom.

Stiže kao e-mail sa attachmentom koji slučajno odabere sa sledećeg spiska:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif.

Kada se pristigli fajl startuje, virus kreira 3 fajla: IE_PACK.EXE, WIN32.DLL i MTX_.EXE i doda sledeći ključ u Registry bazu:

HKEY_LOCAL_MACHINE \ Software \ (MATRIX) i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ SystemBackup = \MTX_.EXE.

Prilikom sledećeg startovanja MS Windowsa MTX_.EXE fajl se startuje i izmeni sadržaj fajla
C:\ WINDOWS \ SYSTEM \ WSOCK32.DLL. Originalni fajl je preimenovan u WSOCK32.MTX. Ovaj fajl je odgovoran za monitoring HTTP zahteva (surferskih zahteva) kao i za e-mail adrese ne koje se šalje e-mail.
Ovako izmenjeni fajl će pri svakom pokušaju pristupa nekom anti-virus sajtu ili se pošalje e-mail na adresu nekog anti-virus sajta srušiti sam program koji obavlja ovu radnju. Ovo je omogućeno time što virus proverava sadržinu sajta u potrazi za sledećim ključnim rečima:

NII.
nai.
avp.
AVP.
F-Se
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
wildlist.o
il.esafe.c
perfectsup
complex.is
HiServ.com
hiserv.com
metro.ch>
beyond.com
mcafee.com
pandasoftw
earthlink.
inexar.com
comkom.co.
meditrade.
mabex.com>
cellco.com
symantec.c
successful
inforamp.n
newell.com
singnet.co
bmcd.com.a
bca.com.nz
trendmicro
sophos.com
maple.com.
netsales.n
f-secure.c
F-Secure.c

i ne dozvoljava slanje e-maila na adrese koje u svom nazivu sadrže:

wildlist.o*
il.esafe.c*
perfectsup*
complex.is*
HiServ.com*
hiserv.com*
metro.ch*
beyond.com*
mcafee.com*
pandasoftw*
earthlink.*
inexar.com*
comkom.co.*
meditrade.*
mabex.com *
cellco.com*
symantec.c*
successful*
inforamp.n*
newell.com*
singnet.co*
bmcd.com.a*
bca.com.nz*
trendmicro*
sophos.com*
maple.com.*
netsales.n*
f-secure.c*.

Slanje e-maila virus obavlja na taj način što kada vidi da je korisnik poslao e-mail nekome, virus odmah pošalje još jedan takav isti e-mail ali sa attachmentom koji je odabrao sa prethodnog spiska.

Komponenta backdoor ne obavlja uspešno svoju funkciju jer je virus uklonjen sa lokacije na koju pokušava da se priključi.
Sam kod virusa ima i sledeći tekst koji korisnik ne vidi:

Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix.

Ovaj virus ima grešku koja ga ponekad onesposobljava za dalje slanje e-maila.

REŠENJE
Obrisati sledeće fajlove:
C:\ WINDOWS \ IE_PACK.EXE,
C:\ WINDOWS \ WIN32.DLL i
C:\ WINDOWS \ MTX_.EXE.
Fajl WSOCK32.MTX treba preimenovati u WSOCK32.DLL a fajlovi se nalaze u C:\ WINDOWS \ SYSTEM direktorijumu.

Treba još obrisati sledeće klučeve u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ (MATRIX) i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ SystemBackup = \MTX_.EXE.

Osveženi antivirusni program.
Назад на врх Go down
Погледај профил корисника http://sdmanija.forumotion.com

W32/Apology-A

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | © phpBB | Free forum support | Контакт | Report an abuse | www.sosblogs.com