HomeHome  SDManija portalSDManija portal  CalendarCalendar  GalleryGallery  FAQ/УпутствоFAQ/Упутство  ТражиТражи  Листа члановаЛиста чланова  Корисничке групеКорисничке групе  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

December 2016
MonTueWedThuFriSatSun
   1234
567891011
12131415161718
19202122232425
262728293031 
CalendarCalendar
Oglasi

adhitz

 

VBS/Loveletter

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin


Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 26
Локација : Smederevo

ПорукаНаслов: VBS/Loveletter   3/7/2009, 17:47

VIRUS INFO
Naziv virusa: VBS/Loveletter
Alias: VBS/Loveletter-C, VBS/Loveletter-D, VBS/Loveletter-E, Susitikum
Tip: worm
Način širenja: e-mailom ili preko IRC-a ili mIRC-a.
Veličina:
Destruktivan:
da
Datum aktiviranja: čim se startuje.
Otkriven: 4.05.2000.

OBJAŠNJENJE
Ovo je VBScript crv sa kvalitetom "pravog" virusa. Ovaj crv će Vam stići kao e-mail poruka:

Subject: "ILOVE YOU" ili "Susitikim shi vakara kavos puodukui..". ili "Joke"
Message "kindly check the attached LOVELETTER coming from me."
Attachment "LOVE-LETTER-FOR-YOU.TXT.vbs" ili "VeryFunny.vbs".

Kada korisnik startuje attachment virus će se startovati pomoću Windows Scripting Host programa. Ovo nije standardna opcija kada se instaliraWindows 9x, jedino ako je kasnije doinstalirano ručni ili kada je instaliran Internet Explorer 5.0.

Kada se crv pokrene, prave se sledeći fajlovi:
C:\ WINDOWS \ SYSTEM \ MSKERNEL32.VBS
C:\ WINDOWS \ WIN32DLL.VBS
C:\ WINDOWS \ SYSTEM\ LOVE-LETTER-FOR-YOU.TXT.VBS.

A takođe se "ugnjezdi" u registry:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
MSKernel32=C:\ WINDOWS \ SYSTEM \ MSKernel32.vbs
i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices \ Win32DLL=C:\ WINDOWS \ Win32DLL.vbs

kako bi obezbedio sebe da će se startovati svaki put kada se Windows startuje.

Virus, takođe, sve fajlove koji imaju ekstenziju *.JPG; *.JPEG; *.MP3 i *.MP2 sa svojom kopijom dodajući im i ekstenziju .VBS (slika.jpg posle infiociranja je slika.jpg.vbs). Fajlovi koji imaju ekstanzije *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT i *.HTA su takođe inficirane ovim virusom i doda im ekstentiju .VBS.

Kada se virus proširi po računaru na kraju procedure se kreira fajl LOVE-LETTER-FOR-YOU.HTM koji sadrži virus, i šalje ga preko IRC ili mIRC kanala svim korisnicima koji su na spisku. Ovo je omogućeno timešto je virus već inficirao fajl SCRIPT.INI. Posle kraće pauze virus koristi Microsoft Outlook da bi se poslao svima koji se nalaze u Address booku. Poruka koja je tom prilikom poslata je identična onoj koju je, sada već zaraženi, korisnik dobio.

Da bi bilo još zanimljivije, virus kada detektuje da je korisnik online, downloaduje fajl WIN-BUGFIX.EXE koji je u stvari program za krađu korisničkih šifri koji će ukrasti sve keširane šifre i poslati na adresu MAILME@SUPER.NET.PH. Da korisnik ne bi primetio da virus downloaduje prigram, korisnikov Internet Explorer će usmeriti na sajt na kome se nalazi trojanac za krađu šifri.

Ovako izgleda e-mail koji šalje program koji je ukrao korisnikovu šifru:
-------------copy of email sent-----------
From: goat1@192.168.0.2To: mailme@super.net.ph
Subject: Barok... email.passwords.sender.trojan
X-Mailer: Barok... email.passwords.sender.
trojan---by: spyder
Host: [machine name]
Username: [user name]
IP Address: [victim IP address]
RAS Passwords:...[victim password info]
Cache Passwords:...[victim password info]
-------------copy of email sent-----------

Da bi se autor virusa informisao o svakoj promeni korisničke šifre, virus napravi ključ u registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ WIN-BUGSFIX

kako bi se startovao sledeći put kada se Microsoft Windows startuje. Kada se Windows startuje, virus kreira WINDOWS \ SYSTEM \ WINFAT32.EXE fajl i promeni ključ u registriju:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
WinFAT32=WinFAT32.EXE

REŠENJE

osveženi antivirusni program i pazite šta dobijate od prijatelja.
Назад на врх Go down
Погледај профил корисника http://sdmanija.forumotion.com

VBS/Loveletter

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | © phpBB | Free forum support | Контакт | Report an abuse | Have a free blog with Sosblogs