HomeHome  SDManija portalSDManija portal  CalendarCalendar  GalleryGallery  FAQ/УпутствоFAQ/Упутство  ТражиТражи  Листа члановаЛиста чланова  Корисничке групеКорисничке групе  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

October 2017
MonTueWedThuFriSatSun
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
CalendarCalendar
Oglasi

adhitz

 

Win32.Braid.A

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin
avatar

Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 27
Локација : Smederevo

ПорукаНаслов: Win32.Braid.A   3/7/2009, 16:43

VIRUS INFO
Naziv virusa: Win32.Braid.A
Alias: W32.Brid.A@mm, PE_BRID.A, I-worm.Bridex, PE_Funlove.4099
Tip: worm
Način širenja: e-mailom
Veličina: 118 787 bajtova za fajl README.EXE ili 4 608 bajtova za BRIDE.EXE
Destruktivan:
ne
Datum aktiviranja: otvaranjem pristigle pošte
Otkriven: 5.11.2002.

OBJAŠNJENJE
Stiže kao sa sledećim karakteristikama:

Pošiljalac: %registrovani vlasnik inficiranog računara%
Subject: %ime kompanije inficiranog računara%
Telo poruke:

Hello,
Product Name: %verzija_Windows_operativnog_sistema%
Product Id: %Windows_product_broj%
Product Key: %Windows_product_registracioni_ključ%

Process List: %procesi koji su bili startovani u vreme slanja%

Thank you.

Attachment: README.EXE ili BRIDE.EXE. (+)

Pošto crv, koji je napisan u programskom jeziku Visual Basic, koristi propust operativnog sistema (MIME i IFRAME) i odmah će, po otvaranju pristiglog e-maila, startovati attachment.

Crv će se presnimiti prvih 4 608 bajtova u fajlu MSCONFIG.EXE sa virus kôdom Win32.FunLove.
Fajl BRIDE.EXE će biti iskopiran u direktorijum C:\ WINDOWS \ SYSTEM.

Crv će zatim kreirati sledeći fajl
C:\ WINDOWS \ SYSTEM \ REGEDIT.EXE

a odmah zatim i ključ u Registry bazi:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ regedit = "C:\ WINDOWS \ SYSTEM \ REGEDIT.EXE"

kako bi se startovao svaki put kada korisnik startuje Windsows.
Objašnjenje: crv hoće korinika da zbuni sa nazivom fajla da pomisli da je taj fajl sastavni deo operativnog sistema, međutim, originalni REGEDIT.EXE se nalazi u C:\WINDOWS direktorijumu.

Da bi došao do e-mail adresa ne koje će se poslati, crv će skenirati, u zavisnosti od verzije Windsows sledeće direktorijume:
Windows 9x (95, 95SR, 98, 98SE) :
% putanja do sistemskog direktorijuma %\History\
% putanja do sistemskog direktorijuma %\Cookies\
% putanja do sistemskog direktorijuma %\Temporary Internet Files\

Windows 2000:
Documents and Settings\%CurrentUser%\Cookies
Documents and Settings\%CurrentUser%\Local Settings\Temporary Internet Files

Crv će kreirati dve ikonice na korisnikovom desktopu HELP.EML i EXPLORER.EXE. Obe ikonice sadrže kôd virusa. (+)
Da bi zavarao korisnika, kada se pogleda Properties fajla, crv se predstavlja kao fajl koji je kreiran od strane neke AV kompanije koja ne postoji ali je kombinacijom reči dobijen naziv. (+)


REŠENJE
Preuzmite cleaner. (download )
Uvek preporučujem osveženi antivirusni program.
Назад на врх Go down
Погледај профил корисника http://sdmanija.forumotion.com

Win32.Braid.A

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | © phpBB | Free forum support | Контакт | Report an abuse | Have a free blog with Sosblogs