Would you like to react to this message? Create an account in a few clicks or log in to continue.


 
HomeHome  SDManija portalSDManija portal  GalleryGallery  Latest imagesLatest images  ТражиТражи  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

March 2024
MonTueWedThuFriSatSun
    123
45678910
11121314151617
18192021222324
25262728293031
CalendarCalendar
Oglasi

adhitz

 

Win32.Braid.A

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin
Admin

Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 33
Локација : Smederevo

Win32.Braid.A Vide
ПорукаНаслов: Win32.Braid.A   Win32.Braid.A Empty3/7/2009, 16:43

VIRUS INFO
Naziv virusa: Win32.Braid.A
Alias: W32.Brid.A@mm, PE_BRID.A, I-worm.Bridex, PE_Funlove.4099
Tip: worm
Način širenja: e-mailom
Veličina: 118 787 bajtova za fajl README.EXE ili 4 608 bajtova za BRIDE.EXE
Destruktivan:
ne
Datum aktiviranja: otvaranjem pristigle pošte
Otkriven: 5.11.2002.

OBJAŠNJENJE
Stiže kao sa sledećim karakteristikama:

Pošiljalac: %registrovani vlasnik inficiranog računara%
Subject: %ime kompanije inficiranog računara%
Telo poruke:

Hello,
Product Name: %verzija_Windows_operativnog_sistema%
Product Id: %Windows_product_broj%
Product Key: %Windows_product_registracioni_ključ%

Process List: %procesi koji su bili startovani u vreme slanja%

Thank you.

Attachment: README.EXE ili BRIDE.EXE. (+)

Pošto crv, koji je napisan u programskom jeziku Visual Basic, koristi propust operativnog sistema (MIME i IFRAME) i odmah će, po otvaranju pristiglog e-maila, startovati attachment.

Crv će se presnimiti prvih 4 608 bajtova u fajlu MSCONFIG.EXE sa virus kôdom Win32.FunLove.
Fajl BRIDE.EXE će biti iskopiran u direktorijum C:\ WINDOWS \ SYSTEM.

Crv će zatim kreirati sledeći fajl
C:\ WINDOWS \ SYSTEM \ REGEDIT.EXE

a odmah zatim i ključ u Registry bazi:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ regedit = "C:\ WINDOWS \ SYSTEM \ REGEDIT.EXE"

kako bi se startovao svaki put kada korisnik startuje Windsows.
Objašnjenje: crv hoće korinika da zbuni sa nazivom fajla da pomisli da je taj fajl sastavni deo operativnog sistema, međutim, originalni REGEDIT.EXE se nalazi u C:\WINDOWS direktorijumu.

Da bi došao do e-mail adresa ne koje će se poslati, crv će skenirati, u zavisnosti od verzije Windsows sledeće direktorijume:
Windows 9x (95, 95SR, 98, 98SE) :
% putanja do sistemskog direktorijuma %\History\
% putanja do sistemskog direktorijuma %\Cookies\
% putanja do sistemskog direktorijuma %\Temporary Internet Files\

Windows 2000:
Documents and Settings\%CurrentUser%\Cookies
Documents and Settings\%CurrentUser%\Local Settings\Temporary Internet Files

Crv će kreirati dve ikonice na korisnikovom desktopu HELP.EML i EXPLORER.EXE. Obe ikonice sadrže kôd virusa. (+)
Da bi zavarao korisnika, kada se pogleda Properties fajla, crv se predstavlja kao fajl koji je kreiran od strane neke AV kompanije koja ne postoji ali je kombinacijom reči dobijen naziv. (+)


REŠENJE
Preuzmite cleaner. (download )
Uvek preporučujem osveženi antivirusni program.
Назад на врх Go down
https://sdmanija.forumsc.net

Win32.Braid.A

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | ©phpBB | Free forum support | Report an abuse | Latest discussions