HomeHome  SDManija portalSDManija portal  CalendarCalendar  GalleryGallery  FAQ/УпутствоFAQ/Упутство  ТражиТражи  Листа члановаЛиста чланова  Корисничке групеКорисничке групе  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

December 2016
MonTueWedThuFriSatSun
   1234
567891011
12131415161718
19202122232425
262728293031 
CalendarCalendar
Oglasi

adhitz

 

Win32.BugBear.A@mm

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin


Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 26
Локација : Smederevo

ПорукаНаслов: Win32.BugBear.A@mm   3/7/2009, 16:45

VIRUS INFO
Naziv virusa: Win32.BugBear.A@mm
Alias: Win32/Bugbear.A, Win32/Bugbear.Worm, I-Worm.Tanatos, Worm/Tanatos, Tanatos, Tanat, WORM_NATOSTA.A
Tip: Win32 izvršni fajl virus / worm
Način širenja: e-mailom sa attachmentima koji imaju ekstenziju *.EXE, *.SCR ili *.PIF
Veličina: 50688 bajtova
Destruktivan:
da
Datum aktiviranja: odmah po otvaranju e-maila ili startovanjem pristiglog attachmenta
Otkriven: 30.09.2000.

OBJAŠNJENJE
Stiže kao e-mail:
Subject: (slučajan odabir reči sa sledećeg spiska)
Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
Get 8 FREE issues - no risk!
Tools For Your Online Business
Daily Email Reminder
free shipping!
News
its easy
Your News Alert
$150 FREE Bonus!
SCAM alert!!!
Warning!
New bonus in your cash account
Your Gift
Re:
Sponsors needed
new reading
Greets!
Hi!

I pored ove liste mogućih naziva Subject linije, virus će kreirati Subject liniju slučajnim odabirom od već primljenih korisnikovih e-mailova.

Telo poruke: nasumično odabran sadržaj jednog fajla sa pošiljaočevog računara.

Attachment: fajl sa dvostrukom ekstenzijom *.EXE, *.SCR ili *.PIF (primer: ime_fajla.XLS.SCR)

Da bi napravio spisak korisnika na koje će se adrese poslati, virus pretražuje korisnikov računar u potrazi za fajlovima koji imaju sledeće ekstenzije: *.ODS, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX i *INBOX*.

Napisan je u programskom jeziku Microsoft Visual C++ 6 kompresovan sa UPX v0.76.1-1.22. Sve verzije Windowsa (Windows 95, Windows 98, Windows NT, Windows 2000, Windows Me, Windows XP) podležu ovom virusu.

Da bi se startovao svaki put kada se startuje Windows, virus ubacuje ključ u Registry bazu:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

gde se kao vrednost stavlja ime fajla koji je kreiran po nasumičnom odabiru imena a ima samo 4 karaktera. Da je u pitanju obična rutina, sledeći put kada bi se Windows startovao ovog ključa ne bi bilo, ali pošto virus svaki put kreira ovaj ključ, on će se tako startovati svaki put kada se startuje i Windows.

Virus kreira
C:\ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ CUU.EXE
(za Windows 95/98/Me)
odnosno
C:\ DOCUMENTS AND SETTINGS \ <CURRENT USER NAME> \ START MENU \ PROGRAMS \ STARTUP \ CTI.EXE
(za Windows NT/2000/XP).

Virus kreira nekoliko fajlova koje jedan broj AV programa neće detektovati kao opasne po korisnika, jer oni predstavljaju podešavanja samog virusa:
%system%\ICCYOA.DLL
%system%\LGGUQAA.DLL
%system%\ROOMUAA.DLL
%windir%\OKKQSA.DAT
%windir%\USSIWA.DAT

gde je:
%system% direktorijum C:\ WINDOWS \ SYSTEM (za Windows 95/98/Me), C:\ WINNT \ SYSTEM32 (za Windows NT/2000) ili C:\ WINDOWS \ SYSTEM32 (za Windows XP)

%windir% direktorijum C:\ WINDOWS (za Windows 95/98/Me,XP) ili C:\ WINNT (za Windows NT/2000).
Ako AV program ne obriše ove fajlove, korisnik ih može sam ručno obrisati. Pošto virus nasumično odabira imena za kreiranje fajlova, zaraženi fajlovi se od računara do računara razlikuju !!!

Virus ima rutinu kojom na svakih 30 sekundi proverava da li je startovan neki od sledećih programa, AV i firewall programi.:
ZONEALARM.EXE, WFINDV32.EXE, WEBSCANX.EXE, VSSTAT.EXE, VSHWIN32.EXE, VSECOMR.EXE, VSCAN40.EXE, VETTRAY.EXE, VET95.EXE, TDS2-NT.EXE, TDS2-98.EXE, TCA.EXE, TBSCAN.EXE, SWEEP95.EXE, SPHINX.EXE, SMC.EXE, SERV95.EXE, SCRSCAN.EXE, SCANPM.EXE, SCAN95.EXE, SCAN32.EXE, SAFEWEB.EXE, RESCUE.EXE, RAV7WIN.EXE, RAV7.EXE, PERSFW.EXE, PCFWALLICON.EXE, PCCWIN98.EXE, PAVW.EXE, PAVSCHED.EXE, PAVCL.EXE, PADMIN.EXE, OUTPOST.EXE, NVC95.EXE, NUPGRADE.EXE, NORMIST.EXE, NMAIN.EXE, NISUM.EXE, NAVWNT.EXE, NAVW32.EXE, NAVNT.EXE, NAVLU32.EXE, NAVAPW32.EXE, N32SCANW.EXE, MPFTRAY.EXE, MOOLIVE.EXE, LUALL.EXE, LOOKOUT.EXE, LOCKDOWN2000.EXE, JEDI.EXE, IOMON98.EXE, IFACE.EXE, ICSUPPNT.EXE, ICSUPP95.EXE, ICMON.EXE, ICLOADNT.EXE, ICLOAD95.EXE, IBMAVSP.EXE, IBMASN.EXE, IAMSERV.EXE, IAMAPP.EXE, FRW.EXE, FPROT.EXE, FP-WIN.EXE, FINDVIRU.EXE, F-STOPW.EXE, F-PROT95.EXE, F-PROT.EXE, F-AGNT95.EXE, ESPWATCH.EXE, ESAFE.EXE, ECENGINE.EXE, DVP95_0.EXE , DVP95.EXE, CLEANER3.EXE, CLEANER.EXE, CLAW95CF.EXE, CLAW95.EXE, CFINET32.EXE, CFINET.EXE, CFIAUDIT.EXE, CFIADMIN.EXE, BLACKICE.EXE, BLACKD.EXE, AVWUPD32.EXE, AVWIN95.EXE, AVSCHED32.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVNT.EXE, AVKSERV.EXE, AVGCTRL.EXE, AVE32.EXE, AVCONSOL.EXE, AUTODOWN.EXE, APVXDWIN.EXE, ANTI-TROJAN.EXE, ACKWIN32.EXE, _AVPM.EXE, _AVPCC.EXE i _AVP32.EXE.


Virus se širi i preko mreže. Zbog nemogućnosti zaraze samih mrežnih štampača (oni koji u sebi imaju ugrađene hard diskove), biće odštampana gomila nepotrebnog materijala.
Prilikom kreiranja fajlova, virus će kreirati jedan fajl sa sadržajem jednog trojanca, Trojan.KeyLogger.BugBear.A koji će otvoriti port 36794 očekujući od mediatora komande kao što su kopiranje, brisanje, startovanje/gašenje procesa, kreiranje liste fajlova, krađa šifri … . Mediator će otvoriti HTTP server na korisnikovom računaru i imaće interfejs kao web browser prilikom upravljanja računarom.

Virus koristi SMTP protokol za slanje gomile e-mailova. Prilikom slanja, virus koristi dve vrste e-mailova: u jednoj varijanti kreira e-mail koji će korisnika zaraziti odmah prilikom otvaranja pristiglog e-maila (iskorištava ranjivost IFRAME), dok će druga vrsta e-mailova biti sa klasičnim attachmentom gde će korisnik, da bi se zarazio, morati sam da startuje pristigli fajl. Nadam se da će korisnici izbeći ovu grešku i da neće startovati pristigli fajl i tako izbeći opasnost.
Virus ima rutinu za sastavljanje e-mail adresa na koje će se poslati. Primer: ako pronađe e-mail adrese a@a.com, b@b.com i c@c.com, virus će kreirati adresu c@b.com.


REŠENJE
Preuzmite cleaner.download
Windows startujete u Safe Modu i tako startujete preuzeti cleaner.
Назад на врх Go down
Погледај профил корисника http://sdmanija.forumotion.com

Win32.BugBear.A@mm

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | © phpBB | Free forum support | Контакт | Report an abuse | Create a blog