Would you like to react to this message? Create an account in a few clicks or log in to continue.


 
HomeHome  SDManija portalSDManija portal  GalleryGallery  Latest imagesLatest images  ТражиТражи  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

March 2024
MonTueWedThuFriSatSun
    123
45678910
11121314151617
18192021222324
25262728293031
CalendarCalendar
Oglasi

adhitz

 

W32/Kriz.3862

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin
Admin

Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 33
Локација : Smederevo

W32/Kriz.3862 Vide
ПорукаНаслов: W32/Kriz.3862   W32/Kriz.3862 Empty3/7/2009, 17:42

VIRUS INFO
Naziv virusa: W32/Kriz.3862
Alias: Kriz
Tip: Win32 izvršni fajl virus
Način širenja: startovanjem zaraženog fajla
Veličina: zavisi od samog zaraženog EXE fajla, nosioca virusa
Destruktivan:
da
Datum aktiviranja: 25 decembra briše sadržini BIOS-a
Otkriven: 16.08.1999.

OBJAŠNJENJE
Ovo je polimorfan virus koji inficira sve EXE fajlove na sistemima koji imaju instaliran Microsoft Windows 95/98 i NT.
Kada se zaraženi fajl pokrene virus ostane rezidentan u virtuelnoj memoriji. Prilikom sledećeg startovanja Windowsa virus kreira fajl C:\ WINDOWS \ SYSTEM \ KRIZED.TT6 koji sadrži sam kod virusa. Posle ovoga, virus prati koji se fajlovi startuju na korisnikovom računaru i svaki EXE fajl koji se pokrene, virus upiše svoj kod u njega, tj. zarazi ga.

Virus zameni nazive fajlova C:\ WINDOWS \ SYSTEM \ KERNEL32.DLL u C:\ WINDOWS \ SYSTEM \ KRIZED.TT6 i obrnuto.
Pošto je zarazio KERNEL32.DLL, virus prati sistemske funkcije:
CopyFileA, CopyFileW, CreateFileA, CreateFileW, CreateProcessA, CreateProcessW, DeleteFileA, DeleteFileW, GetFileAttributesA, GetFileAttributesW, MoveFileA, MoveFileW, MoveFileExA, MoveFileExW, SetFileAttributesA i SetFileAttributesW uz pomoć kojih mu je omogućeno da zarazi svaki startovani EXE fajl.

Posle ovoga, virus kreira fajl C:\ WINDOWS \ WININIT.INI u koji postavi sledeći red:
[rename]
C:\ WINDOWS \ SYSTEM \ KERNEL32.DLL=C:\ WINDOWS \ SYSTEM \ KRIZED.TT6.

Ovim fajlom virus prilikom svakog sledećeg resetovanja Windowsa zameni fajlove C:\ WINDOWS \ SYSTEM \ KERNEL32.DLL u C:\ WINDOWS \ SYSTEM \ KRIZED.TT6 tako da korisnik ništa ne primeti.

Kada se sledeći put računar startuje, virus će biti učitan indirektno jer će do tada inficirati toliko EXE fajlova da će korisnik sam učitati virus ili će on već biti učitan prilikom sledećeg startovanja Windowsa ili nekog drugog programa.

25 decembra virus će pokušati da obriše sadržinu BIOS-a i boot sektora. Ako uspe u tome, korisnik prilikom sledećeg ukljucivanja neće moći ništa da radi. BIOS je ROM (Read Only Memory) ili PROM (Programmable Read Only Memory) čip na matičnoj ploči koji sadrži program neophodan za startovanje računara. Kada se računar uključi, BIOS direktno proverava šta ima u računaru (procesor, memorija, tastatura, video kartica, hard disk…). Tek kada BIOS pročita podatke iz CMOS-a svih uredaja koji su priključeni, startuje se operativni sistem sa diskete ili hard diska. Ako je BIOS oštećen ili obrisan (na bilo koji način), računar se neće uključiti, samo će se čuti ventilatori. Po ovoj karakteristici virus je sličan CIH virusu.

Otkrivene su i varijacije ovog virusa W32/Kriz.4050 i W32/Kriz.4092 koje su potpuno iste po dejstvu i karakteristikama.

REŠENJE
Novi BIOS koji odgovara Vašoj matičnoj ploči i/ili držati stalno osveženi antivirusni program.
Назад на врх Go down
https://sdmanija.forumsc.net

W32/Kriz.3862

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | ©phpBB | Free forum support | Report an abuse | Latest discussions