HomeHome  SDManija portalSDManija portal  CalendarCalendar  GalleryGallery  FAQ/УпутствоFAQ/Упутство  ТражиТражи  Листа члановаЛиста чланова  Корисничке групеКорисничке групе  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

December 2016
MonTueWedThuFriSatSun
   1234
567891011
12131415161718
19202122232425
262728293031 
CalendarCalendar
Oglasi

adhitz

 

W32/Kriz.3862

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin


Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 26
Локација : Smederevo

ПорукаНаслов: W32/Kriz.3862   3/7/2009, 17:42

VIRUS INFO
Naziv virusa: W32/Kriz.3862
Alias: Kriz
Tip: Win32 izvršni fajl virus
Način širenja: startovanjem zaraženog fajla
Veličina: zavisi od samog zaraženog EXE fajla, nosioca virusa
Destruktivan:
da
Datum aktiviranja: 25 decembra briše sadržini BIOS-a
Otkriven: 16.08.1999.

OBJAŠNJENJE
Ovo je polimorfan virus koji inficira sve EXE fajlove na sistemima koji imaju instaliran Microsoft Windows 95/98 i NT.
Kada se zaraženi fajl pokrene virus ostane rezidentan u virtuelnoj memoriji. Prilikom sledećeg startovanja Windowsa virus kreira fajl C:\ WINDOWS \ SYSTEM \ KRIZED.TT6 koji sadrži sam kod virusa. Posle ovoga, virus prati koji se fajlovi startuju na korisnikovom računaru i svaki EXE fajl koji se pokrene, virus upiše svoj kod u njega, tj. zarazi ga.

Virus zameni nazive fajlova C:\ WINDOWS \ SYSTEM \ KERNEL32.DLL u C:\ WINDOWS \ SYSTEM \ KRIZED.TT6 i obrnuto.
Pošto je zarazio KERNEL32.DLL, virus prati sistemske funkcije:
CopyFileA, CopyFileW, CreateFileA, CreateFileW, CreateProcessA, CreateProcessW, DeleteFileA, DeleteFileW, GetFileAttributesA, GetFileAttributesW, MoveFileA, MoveFileW, MoveFileExA, MoveFileExW, SetFileAttributesA i SetFileAttributesW uz pomoć kojih mu je omogućeno da zarazi svaki startovani EXE fajl.

Posle ovoga, virus kreira fajl C:\ WINDOWS \ WININIT.INI u koji postavi sledeći red:
[rename]
C:\ WINDOWS \ SYSTEM \ KERNEL32.DLL=C:\ WINDOWS \ SYSTEM \ KRIZED.TT6.

Ovim fajlom virus prilikom svakog sledećeg resetovanja Windowsa zameni fajlove C:\ WINDOWS \ SYSTEM \ KERNEL32.DLL u C:\ WINDOWS \ SYSTEM \ KRIZED.TT6 tako da korisnik ništa ne primeti.

Kada se sledeći put računar startuje, virus će biti učitan indirektno jer će do tada inficirati toliko EXE fajlova da će korisnik sam učitati virus ili će on već biti učitan prilikom sledećeg startovanja Windowsa ili nekog drugog programa.

25 decembra virus će pokušati da obriše sadržinu BIOS-a i boot sektora. Ako uspe u tome, korisnik prilikom sledećeg ukljucivanja neće moći ništa da radi. BIOS je ROM (Read Only Memory) ili PROM (Programmable Read Only Memory) čip na matičnoj ploči koji sadrži program neophodan za startovanje računara. Kada se računar uključi, BIOS direktno proverava šta ima u računaru (procesor, memorija, tastatura, video kartica, hard disk…). Tek kada BIOS pročita podatke iz CMOS-a svih uredaja koji su priključeni, startuje se operativni sistem sa diskete ili hard diska. Ako je BIOS oštećen ili obrisan (na bilo koji način), računar se neće uključiti, samo će se čuti ventilatori. Po ovoj karakteristici virus je sličan CIH virusu.

Otkrivene su i varijacije ovog virusa W32/Kriz.4050 i W32/Kriz.4092 koje su potpuno iste po dejstvu i karakteristikama.

REŠENJE
Novi BIOS koji odgovara Vašoj matičnoj ploči i/ili držati stalno osveženi antivirusni program.
Назад на врх Go down
Погледај профил корисника http://sdmanija.forumotion.com

W32/Kriz.3862

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | © phpBB | Free forum support | Контакт | Report an abuse | Have a free blog with Sosblogs