HomeHome  SDManija portalSDManija portal  CalendarCalendar  GalleryGallery  FAQ/УпутствоFAQ/Упутство  ТражиТражи  Листа члановаЛиста чланова  Корисничке групеКорисничке групе  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

December 2016
MonTueWedThuFriSatSun
   1234
567891011
12131415161718
19202122232425
262728293031 
CalendarCalendar
Oglasi

adhitz

 

W97M/Bablas.Z

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin


Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 26
Локација : Smederevo

ПорукаНаслов: W97M/Bablas.Z   3/7/2009, 16:08

VIRUS INFO
Naziv virusa: W97M/Bablas.Z
Alias:
Tip: makro
Način širenja: zaraženim Wordovim dokumentima
Veličina:
Destruktivan:da
Datum aktiviranja:
Otkriven: 3.08.2000.

OBJAŠNJENJE
Ovo je napredan makro virus koji je napisan tako da izbegne svoje otkrivanje. Sastoji se od 16 manjih makroa koje AV programi ne karakterišu kao opasne, ali kada se izvede njihovo zajedničko izvršavanje, Bablas.Z postaje opasan.
Makro pod nazivom "Silent" predstavlja varijaciju prvog iz serijala Bablas virusa, Bablas.A.
Bablas.Z je koncentrisan u 2 makroa: "hapusdidokumen" i "hapusdiTemplate". Uloge ova dva makroa su da inficira sve Wordove dokumente, korisnikove šablone kao i sam Wordov šablon.

Makro "hapusdidokumen" skenira svaki učitani Wordov dokument u potrazi za VBA kodom sa ključnom reci "ZACHRI" (ime modula u kome se nalazi virus), i ako ne postoji, virus promeni tekst na status baru .

Posle ovoga bivaju obrisani svi makroi koji postoje u dokumentu, i sam Bablas.Z. Infekcioni proces tada obuhvata promenu teksta na status baru i nakon ovoga kod virusa biva ubačen u aktivan Wordov dokument.

Makro "hapusdiTemplate" ima obrnuti proces od prethodnog makroa. On prvo inficira NORMAL.DOT šablon Worda i nakon toga svi dokumenti koji su kreirani ili menjani, bivaju zaraženi ovim virusom. Status linija može da bude ispisana sa dve poruke koje objašnjavaju tok inficiranja (prva i druga slika).

Nakon ovoga korisnik ne može da pristupa meniju File/Recent Files (fajlovi koji su zadnji startovani a nalazi se pri kraju menija File).

Mnogi virusi koriste razne metode kako bi se sakrili od Wordovih opcija da im ne dozvoli izvršavanje, dok jako mali broj makro virusa, i Bablas.Z, koriste neke Wordove opcije kako bi ostali neotkriveni i na taj način inficirali dokumente.
Da bi se virus sakrio od detektovanja od strane Worda, virus koristi makro "changecap" i promeni naziv aplikacije.

Posle ovoga, korisnik kada bude startovao neki Wordov dokument koji nije zaražen, pojavljivaće mu se stalno poruka.

Kada korisnik hoće da pristupi meniju Tools/Macro/Macros biće upitan za pristupnu šifru.

Virus isključi sledeće opcije "prompt for document properties", "prompt to save normal template" i "macro virus protection".

Makro imena koja koristi:
"AutoExec", "AutoOpen", "AutoClose", "FileClose", "FileOpen", "FileSave", "ToolsMacro", "ViewCode", "ViewVBCode", "cekadavirus", "changecap", "hapus_semua", "hapusdidokumen", "hapusdiTemplate", "restoreCap" i "Silent".

REŠENJE
Pazite od koga dobjate Wordove dokumente. Osveženi antivirusni program.
Назад на врх Go down
Погледај профил корисника http://sdmanija.forumotion.com

W97M/Bablas.Z

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | © phpBB | Free forum support | Контакт | Report an abuse | Create a blog