Would you like to react to this message? Create an account in a few clicks or log in to continue.


 
HomeHome  SDManija portalSDManija portal  GalleryGallery  Latest imagesLatest images  ТражиТражи  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

March 2024
MonTueWedThuFriSatSun
    123
45678910
11121314151617
18192021222324
25262728293031
CalendarCalendar
Oglasi

adhitz

 

VBS/Izled-A

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin
Admin

Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 33
Локација : Smederevo

VBS/Izled-A Vide
ПорукаНаслов: VBS/Izled-A   VBS/Izled-A Empty3/7/2009, 17:24

VIRUS INFO
Naziv virusa: VBS/Izled-A
Alias: YuSifilis
Tip: worm
Način širenja: e-mailom ili preko IRC-a
Veličina:
Destruktivan:
da
Datum aktiviranja: otvaranjem pristigle pošte
Otkriven: 6.07.2001.

OBJAŠNJENJE
VBS/Izled-A je crv napisan u kao Visual Basic Script koji se širi putem e-maila i IRC-a. Ovo je domaći crv napisan od strane VIRUSKREW-a.

Stiže kao e-mail sa sledećim karakteristikama:
Subject: Jao pogledaj ovo pa ove je za umreti od smeha...

Telo poruke je:
Hmm novi pokreti , sve novo , ovo je stvarno mocno Smile morao sam ovo da podelim ... saljem ti ... haha e drzi se za stolicu da nebi pao sa nje od smeha hehe Smile sta sve ljudi znaju da pisu pa to je neverovatno.

Attachment: SEX_ZA_NEUPUCENE.HTM

Kada korisnik otvoriti pristigli fajl, u Internet Exploreru će se prikazati upozorenje da je na stranici ActiveX kontrola koja može biti nesigurna. U HTML-u je na stranici napisan tekst "The file use ActiveX , press "YES" to see the page...". i

Odabere li korisnik "Yes", pokrenut ce crv i izvršiti njegov kod.

Jednom aktivan, crv kreira svoju kopiju u Windows direktoriju pod imenom KERNEL32.DLL i zbog toga dolazi do problema kod restartovanja računara. KERNEL32.DLL je jedan od najvažnijih sistemskih fajlova koja se obično nalazi u System direktoriju. Kako ovaj crv kreira istiomenu datoteku u Windows direktorijumu, Windows će pokušati da ovaj fajl učitati prie onog pravog što će prouzrokovati blokiranje računara.

Crv će se kopirati u sistemski direktorij pod imenima SEX_ZA_NEUPUCENE i MNTASK.TSK.

Nakon toga menja početnu stranicu Internet Explorera na "www.vxbiolabs.cjb.net."

Takođe, crv dodaje sledeći ključ u Registry bazu:

HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \ RUN YUSIFILIS.VBS

Potom crv prepisuje C:\AUTOEXEC.BAT sa tekstom koji će se prikazati prilikom sledećeg startovanja računara:

"Ja sam lepa, zgodna, pametna i uobrazena
Ja sam kompljuterski crv i virus 'YuSifilis'
-------------------------------------------
Moj bog koji me stvorio je AXidCooKie / clan VxBioLabs
Kad sve izgleda da umire, ono se ustvari radja...
Mi u BOG-a verujemo - Specie & ACidCooKie
Greets: VIRUSKREW, BihNet.org, #vxers, 29A,
vtc.cjb.net , and all VX coderz...".

Nakon toga crv koristi Outlook kako bi se poslao svima na sve e-mail adrese koje postoje u korisnikovom Address Booku.

Pošto su poruke poslane, crv kreira datoteku YUSIFILIS.VBS koja bi se trebala izvršiti pri sledećem startovanju Windowsa, ali se zbog problema s "lažnim" KERNEL32.DLL neće moći izvršiti (osim ako se ručno ne obriše virusni KERNEL32.DLL) tj. neće moći da se startuje Windows.

Ako se ovaj fajl ipak pokrene, crv će kreirati fajl u C:\ SIFILISUY.VBS. Takođe će fajl C:\ WINDWOWS \ SYSTEM \ MNTASK.TSK kopirati u C:\ WINDOWS \ ACTIVEX_DEMO_FILE.HTM.

Posle ovoga, crv će pretražiti sve diskove za *.VBS fajlovima. Sve fajlove na koje naiđe, crv će u njih upisati svoj sadržaj.

Ako korisnik ima na svom računaru instaliran program mIRC i fajl MIRC.INI, u istom će direktoriju kreirati SCRIPT.INI u kojem je kôd za slanje inficiranih drugim korisnicima mIRC IRC klijenta.


REŠENJE
Obrisati sleće fajlove:
YUSIFILIS.VBS,
SIFILISUY.VBS i
SEX_ZA_NEUPUCENE.HTM
a pošto je crv upisao svoj kod u sve *.VBS fajlove preporučujem reinstalaciju Windowsa.

Obrisati sledeći ključ u Registry bazi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \ RUN YUSIFILIS.VBS
Назад на врх Go down
https://sdmanija.forumsc.net

VBS/Izled-A

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Create a forum on Forumotion | ©phpBB | Free forum support | Report an abuse | Latest discussions