GRY-Online.pl --> Archiwum Forum

UWAGA!!! NOWY VIRUS SZALEJE W SIECI!!! LIVRA.A LUB B - PRZECZYTAJ I ZABEZPIECZ SIE!

11.01.2003
20:29
smile
[1]

Pik [ No Bass No Fun ]

UWAGA!!! NOWY VIRUS SZALEJE W SIECI!!! LIVRA.A LUB B - PRZECZYTAJ I ZABEZPIECZ SIE!

Uwaga!!! Od kilku dni w sieci szaleje nowy virus, wystarczy tylko, ze sciagniesz wiadomosc outlookiem czy tez wejdziez do wiadomosci na skrzynce, nie musisz zapisywac ani uruchamiac zalacznikow, sam sie uaktywni, wylaczy Ci program anty-virusowy, zapisze sie na dysku C, spowolni prace komputera o 90% i sam rozesle sie do wszystkich znajomych, ktorych adresy masz wpisane np. w Outlooku. Coraz wiecej ludzi w Polsce go ma.

Oto specyfikacja virusa i porady jak sie go pozbyc (pozwolilem sobie przytoczyc za posrednictwem www.mks.com.pl):

Baza wirusów - Lirva.B
9 stycznia 2003

Również znany jako: W32.Lirva.B
Typ: robak
Długość: 34815
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie
Data aktywacji: 7 każdego miesiąca, 11 każdego miesiąca, 24 każdego miesiąca

Lirva.B jest robakiem pocztowym, którego działanie polega na rozsyłaniu własnych kopii pocztą elektroniczną, a także rozprzestrzenianiu się za pośrednictwem IRCa, ICQ i KaZaA. Dodatkowo robak wysyła pocztą elektroniczną dane autoryzujące połączeń dial-up do swojego autora.

Robak w wysyłanych przez siebie mail'ach wstawia w pole nadawcy (From) i w pole adresu do odpowiedzi (Reply-To) dowolne znalezione w komputerze ofiary adresy email, dlatego nadawcą rzeczywistym robaka nie jest osoba identyfikowana przez adres email w polu nadawcy.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: [jeden z poniższych]

Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purge's Statement
Fw: Avril Lavigne - CHART ATTACK!
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS Transcriptions
Re: IREX admits you to take in FSAU 2003
Fwd: Re: Have U requested Avril Lavigne bio?
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters - don't miss it!
Fwd: RFC-0245 Specification requested...
Fwd: RFC-0841 Specification requested...
Fw: F. M. Dostoyevsky "Crime and Punishment"
Re: Junior Achievement
Re: Ha perduto qualque cosa signora?

Treść: [jedna z poniższych]

Microsoft has identified a security vulnerability in
Microsoft® IIS 4.0 and 5.0 that is eliminated by a
previously-released patch. Customers who have applied that
patch are already protected against the vulnerability and
do not need to take additional action. to apply the patch
immediately. Microsoft strongly urges all customers using
IIS 4.0 and 5.0 who have not already done so Patch is also
provided to subscribed list of Microsoft Tech Support:

Restricted area response team (RART) Attachment you sent
to %s is intended to overwrite start address at 0000:HH4F
To prevent from the further buffer overflow attacks apply
the MSO-patch

Avril fans subscription FanList admits you to take in
Avril Lavigne 2003 Billboard awards ceremony Vote
for I'm with you! Admission form attached below

Chart attack active list: Vote fo4r I'm with you!
Vote fo4r Sk8er Boi!Vote fo4r Complicated!
AVRIL LAVIGNE - THE CHART ATTACK!

AVRIL LAVIGNE - THE BEST Avril Lavigne's popularity
increases:> SO: First, Vote on TRL for I'm With U! Next,
Update your pics database! Chart attack active list .>.>

Orginal Message:

Załącznik: [jeden z poniższych]

Resume.exe
ADialer.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
TrickerTape.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe
BioData.exe
ALavigne.exe
[losowa nazwa].TXT
[losowa nazwa].DOC

Po uruchomieniu przez użytkownika robak stara się wyłączyć rezydentne monitory programów antywirusowych oraz firewalli zabijając procesy o następujących nazwach (monitor programu mks_vir nie jest zamykany):

KPF.EXE
KPFW32.EXE
_AVPM.EXE
AUTODOWN.EXE
AVKSERV.EXE
AVPUPD.EXE
BLACKD.EXE
CFIND.EXE
CLEANER.EXE
ECENGINE.EXE
F-PROT.EXE
FP-WIN.EXE
IAMSERV.EXE
ICLOADNT.EXE
IFACE.EXE
LOOKOUT.EXE
N32SCAN.EXE
NAVW32.EXE
NORMIST.EXE
PADMIN.EXE
PCCWIN98.EXE
RAV7WIN.EXE
SCAN95.EXE
SMC.EXE
TCA.EXE
VETTRAY.EXE
VSSTAT.EXE
ACKWIN32.EXE
AVCONSOL.EXE
AVPNT.EXE
AVPDOS32.EXE
AVSCHED32.EXE
BLACKICE.EXE
EFINET32.EXE
CLEANER3.EXE
ESAFE.EXE
F-PROT95.EXE
FPROT.EXE
IBMASN.EXE
ICMOON.EXE
IOMON98.EXE
LUALL.EXE
NAVAPW32.EXE
NAVWNT.EXE
NUPGRADE.EXE
PAVCL.EXE
PCFWALLICON.EXE
RESCUE.EXE
SCANPM.EXE
SPHINX.EXE
TDS2-98.EXE
VSSCAN40.EXE
WEBSCANX.EXE
WEBSCAN.EXE
ANTI-TROJAN.EXE
AVE32.EXE
AVP.EXE
AVPM.EXE
AVWIN95.EXE
CFIADMIN.EXE
CLAW95.EXE
DVP95.EXE
ESPWATCH.EXE
F-STOPW.EXE
FRW.EXE
IBMAVSP.EXE
ICSUPP95.EXE
JED.EXE
MOOLIVE.EXE
NAVLU32.EXE
NISUM.EXE
NVC95.EXE
NAVSCHED.EXE
PERSFW.EXE
SAFEWEB.EXE
SCRSCAN.EXE
SWEEP95.EXE
TDS2-NT.EXE
VSECOMR.EXE
WFINDV32.EXE
AVPCC.EXE
_AVPCC.EXE
APVXDWIN.EXE
AVGCTRL.EXE
_AVP32.EXE
AVPTC32.EXE
AVWUPD32.EXE
CFIAUDIT.EXE
CLAW95CT.EXE
DV95_O.EXE
DV95.EXE
F-AGNT95.EXE
FINDVIRU.EXE
IAMAPP.EXE
ICLOAD95.EXE
ICSSUPPNT.EXE
LOCKDOWN2000.EXE
MPFTRAY.EXE
NAVNT.EXE
NMAIN.EXE
OUTPOST.EXE
NAVW.EXE
RAV7.EXE
SCAN32.EXE
SERV95.EXE
TBSCAN.EXE
VET95.EXE
VSHWIN32.EXE
ZONEALARM.EXE
AVPMON.EXE
AVP32.EXE

Po wyłączeniu programów antywirusowych robak tworzy na dysku swoje kopie w plikach o losowo generowanych nazwach i rozszerzeniach tft i exe. Dodatkowo robak modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie systemu Windows.

Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows oraz w plikach z rozszerzeniami dbx, mbx, wab, html, eml, htm, tbb, shtml, nch, idx. Generowany przez robaka list wykorzystuje błąd w niezabezpieczonych programach Microsoft Outlook i Outlook Express powodujący automatyczne uruchomienie załącznika przy oglądaniu podglądu treści listu.

Dodatkowo robak rozprzestrzenia się poprzez IRCa, ICQ i KaZaA oraz poprzez sieć lokalną, wyszukując udostępnione w całości dyski c:. Na komputerach z udostępnionymi do zapisu dyskami systemowymi robak tworzy swoją kopię w katalogu Recycled pod losową nazwą oraz modyfikuje plik autoexec.bat czego efektem jest uruchamianie kopii robaka przy starcie systemów Windows 98/95. Podobne działanie wykonywane jest na dysku lokalnym.

Ponadto robak 7, 11, 24 dnia miesiąca robak uruchamia przeglądarkę internetową otwierając stronę pod adresem www.avril-lavigne.com .

Ostatecznie robak stara się pobrać z internetu i zainstalować znanego konia trojańskiego BackOrifice

Aby skutecznie pozbyć się tego robaka z systemu należy:

uruchomić komputer w trybie awaryjnym;

przeskanować dyski twarde programem mks_vir z bazami wirusów co najmniej z 9 stycznia 2003 r. kasując wykryte przez program pliki;

usunąć wszystkie mail'e z programu pocztowego zawierające tego robaka przy włączonym monitorze antywirusowym;

usunąć udostępnianie dysków C:

Lirva.B jest wykrywany oprogramowaniem mks_vir z bazą wirusów z dnia 2003-01-09 i nowszymi.

11.01.2003
20:35
smile
[2]

Marcio [ Muchożerny Ścianołaz ]

no to musze uaktualnić baze wirusów mksa :)

11.01.2003
20:35
[3]

Rakes [ Generał ]

© 2000-2021 GRY-OnLine S.A.