Would you like to react to this message? Create an account in a few clicks or log in to continue.


 
HomeHome  SDManija portalSDManija portal  GalleryGallery  Latest imagesLatest images  ТражиТражи  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

March 2024
MonTueWedThuFriSatSun
    123
45678910
11121314151617
18192021222324
25262728293031
CalendarCalendar
Oglasi

adhitz

 

WScript/Kak.worm

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin
Admin

Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 33
Локација : Smederevo

WScript/Kak.worm Vide
ПорукаНаслов: WScript/Kak.worm   WScript/Kak.worm Empty3/7/2009, 17:35

VIRUS INFO
Naziv virusa: WScript/Kak.worm
Alias: JS/Kak.worm, Kagou-Anti-Kro$oft, Kak, VBS.Kak.Worm, VBS/Kak, Wscript.Kak, Wscript.KakWorm
Tip: worm
Način širenja: e-mailom
Veličina: 4.116 bajtova
Destruktivan:
ne
Datum aktiviranja: svakog 1 u mesecu posle 18:00h ispisuje poruku
Otkriven: 31.12.1999.

OBJAŠNJENJE
Ovaj Visual Basic script (VBS) virus stiže kao obična e-mail poruka od nekoga koga poznajete. Kada hoćete da je pročitate u programu Microsoft Outlook u preview modu, startuje se ActiveX kontola i virus napada Vaš sistem koristeći i Windows Scripting Host (WSH). Prilikom otvaranja pristigle e-mail poruke, koja sadrži virus, korisniku može da se pojavi poruka sledeće sadržine:

"Do you want to allow software such as ActiveX controls and plug-ins to run?"

Ako korisnik odgovori sa "No" izbeći ce inficiranje računara. A može i da se pojavi sledeća poruka:

"Scripts are usually safe. Do you want to allow scripts to run?"

Ako i na nju odgovori sa "No",izbeci ce inficiranje računara.

Ovaj virus se sastoji od 3 komponente:
- HTA fajl - HTML za programe
- REG fajl - za Registry bazu (Registration Entries Update) i
- BAT fajl - MS-DOS Batch.

Metod koji se koristi da bi se integrisale ove tri komponente je tako napisana e-mail poruka u HTML formatu koja podržava skriptove. Ovaj skript se zove Scriptlet TypeLib.

Prilikom čitanja pristigle poruke na korisnikov hard disk se upisuju sledeći fajlovi:

C:\ WINDOWS \ KAK.HTM
C:\ WINDOWS \ SYSTEM \ Ime_fajla.HTA
C:\ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ KAK.HTA

Slika (+) prečice u Start meniju za startovanje Kak crva.

Ime_fajla.HTA fajl koje je kreiran od strane algoritma virusa slučajnim odabirom kombinacija slova i brojeva (npr. 98278AE0.HTA).

Posle snimanja ovih fajlova korisnikov računar će posle sledećeg startovanja MS Winodwsa aktivirati druge dve komponente ovog virusa. Ovaj virus modifikuje AUTOEXEC.BAT. Novo kreirani fajl AE.KAK je identičan postojećem sa korinikovim AUTOEXEC.BAT fajlom, koji će kasnije biti modifikovan i dopunjen sadržinom KAK.HTA fajla. Fajl KAK.HTA će posle ove procedure biti obrisan.

Virus ubaci sledeći kod u Registry bazu:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ cAg0u = "C:\ WINDOWS \ SYSTEM \ Ime_fajla.HTA"

gde je Ime_fajla.HTA već ranije objašnjeno.

Virus se širi kao potpis (Signature) svake poslate poruke. Ovo mu je omogućeno time što je promenio konfiguraciju Microsoft Outlook programa i dodao mu kao vrednost za opciju Signature fajl C:\WINDOWS\KAK.HTM (+).Tako će sve poslate e-mail poruke sa ovako zaraženog sistema imati u sebi virus. Sadržina ovog fajla je potpuno identična primljenom skriptu kojim se korisnik zarazio.

Svakog prvog u mesecu posle 18:00h virus prikaže sledeću poruku:
"Kagou-Anti-Kro$oft says not today!" ili
"S3 driver memory alloc failed."

Posle prikazane poruke, virus ce izvršiti proceduru gašenja računara.

REŠENJE
Ako ste se upravo inficirali, onda sledite sledeće korake:

- obrišite sve neposlate e-mail poruke
- obrišite sve e-mail poruke koje ste dobili u skorije vreme
- zatvorite MS Outlook
- uklonite fajlove:
C:\ WINDOWS \ KAK.HTM, C:\ WINDOWS \ SYSTEM \ Ime_fajla.HTA i C:\ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ KAK.HTA
- isključite "preview pane"
- isključite Default Signature
- preimenujte AE.KAK u AUTOEXEC.BAT.

Naravno, i osvežite antivirusni program.
Назад на врх Go down
https://sdmanija.forumsc.net

WScript/Kak.worm

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | ©phpBB | Free forum support | Report an abuse | Latest discussions