HomeHome  SDManija portalSDManija portal  CalendarCalendar  GalleryGallery  FAQ/УпутствоFAQ/Упутство  ТражиТражи  Листа члановаЛиста чланова  Корисничке групеКорисничке групе  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

December 2016
MonTueWedThuFriSatSun
   1234
567891011
12131415161718
19202122232425
262728293031 
CalendarCalendar
Oglasi

adhitz

 

Worm.P2P.Duload.b

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin


Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 26
Локација : Smederevo

ПорукаНаслов: Worm.P2P.Duload.b   3/7/2009, 17:02

VIRUS INFO
Naziv virusa: Worm.P2P.Duload.b
Alias: W32/Duload.worm.b, Worm.P2P.Duload.b, Win32/P2P.Duload.Worm
Tip: worm
Način širenja: KaZaa P2P (peer-to-peer) mrežom (razmena raznih podataka spajanjem svih korisnika u jednu mrežu)
Veličina: 7,680 bajtova (zapakovan sa UPX-om)
Destruktivan:
ne
Datum aktiviranja: startovanjem zaraženog fajla
Otkriven: 21.08.2002.

OBJAŠNJENJE
Ovaj crv je napisan u programskom jeziku Microsoft Visual Basic 6.
Kada korisnik startuje zaraženi fajl, crv će kreirati sledeći fajl
C:\WINDOWS\SYSTEM\SYSTEMCONFIG.EXE

i kreiraće kluč u Registry bazi kako bi se on startovao svaki put kada se startuje i Windows
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

Crv kreira u Windows System direktorijumu poddirektorijum Media (po defaultu C:\ WINDOWS \ SYSTEM \ MEDIA) i u njemu kreira sledeće fajlove:
Jenna Jamison Dildo Humping.exe
Pamela Anderson And Tommy Lee Home Video.exe
Alicia Silverstone Payboy Nude.exe
Kama Sutra Tetris.exe
Flash Golf.exe
Hoes For You Solitare.exe
Bingo.exe
Irc Client.exe
Mirc 7.0.exe
DDos Client.exe
Email Bomber.exe
FileServer.exe
Kazaa Clone.exe
Napster Clone.exe
Winmx.exe
Website Hacker.exe
Hotmail Hacker.exe
Windows Hacker.exe
Free Porn.exe
Free Mpegs.exe
Free Pics.exe
Britney Spears Dance Beat.exe
Shakira Dancing.exe
J.Lo Bikini Screensaver.exe
Universal Game Crack.exe
Soldier Of Fortune 2 Mutiplayer Serial Hack.exe
Play Games Online For FREE.exe
Win A Ps2.exe
Win An Xbox.exe
Xbox Emulator.exe
Ps2 Emulator.exe
Ps2 Iso 2 Rom Converter.exe
Xbox Iso 2 Rom Converter.exe
The Sims Game Crack.exe
Working Iso Burner.exe
Winzip.exe
Winrar.exe
Winace.exe
System Monitor.exe
Warcraft 3 Battle.net Crack.exe

Kada kreira ove fajlove, crv kreira i ključ u Registry bazi.
HKEY_CURRENT_USER \ Software \ Kazaa
gde kao ključ navodi da je taj direktorijum, koji je kreirao, deljiv sa svim korisnicima preko KaZaa P2P mreže.

Takođe će biti izmenjeno i nekoliko ključeva u Registry bazi koji se odnose na ovaj program:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir0" = C:\WINDOWS\SYSTEM\Media\

HKEY_LOCAL_MACHINE\Software\Kazaa\CloudLoad
"ShareDir" = C:\WINDOWS\SYSTEM\Media\

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir1" = C:\WINDOWS\SYSTEM\Media\

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir2" = 012345:C:\WINDOWS\SYSTEM\Media\

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"DisableSharing" = 0

HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir0" = 012345:C:\WINDOWS\SYSTEM\Media\

HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir1"= C:\WINDOWS\SYSTEM\Media\

HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir99" = 012345:C:\WINDOWS\SYSTEM\Media\


Dok je korisnik na Internetu, crv će sa http://thisistrash.0catch.com/ skinuti trojanca pod imenom Trojan.Downloader i sačuvaće ga kao C:\UNINSTALL.EXE. Zatim će ga startovati.


REŠENJE
U Registry bazi treba ukloniti sledeće ključeve:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

Zatim obrisati fajl C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE kao i direktorijum C:\ WINDOWS \SYSTEM \ MEDIA.

Korisnici koji koriste ovaj program, KaZaa, za razmenu fajlova trebalo bi da provere još jedno podešavanje programa.
Zbog pojave dosta sličnih virusa i crva koji se šire preko P2P mreža, preporučujem redovno osvežavanje antivirusnog programa.
Назад на врх Go down
Погледај профил корисника http://sdmanija.forumotion.com

Worm.P2P.Duload.b

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | © phpBB | Free forum support | Контакт | Report an abuse | Sosblogs.com