|
|||
I-Worm/Verona.AJednoduchý červ polského původu, který se rozesílá ve zprávách s těmito předměty:Romeo&Juliet :)))))) hello world !!??!?!? subject ble bla, bee I Love You ;) sorry... Hey you ! Matrix has you... my picture from shake-beerZpráva je v HTML formátu a obsahuje skript, který otevírá přiložený soubor MYJULIET.CHM. Tento soubor nápovědy zůstane po svém otevření na obrazovce minimalizován a v něm obsažený kód spouští další přiložený soubor - MYROMEO.EXE. To je vlastní kód wormu (je napsán v Delphi a komprimován pomocí UPX), který po svém spuštění vyrobí a rozešle infikované maily na adresy z adresáře Outlooku. Jakmile s rozesíláním skončí, tak najde v paměti běžící kopii souboru HH.EXE a ukončí její činnost. Tento program slouží k zpracování .CHM souborů a virus tak zruší proces, který posloužil k jeho spuštění - MYJULIET.CHM. Pro rozesílání mailů se snaží použít šest polských SMTP serverů, které jsou špatně nakonfigurovány a mohou komukoliv posloužit k odeslání zprávy. Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG Verona.BJednoduchý červ polského původu, který se rozesílá ve zprávách s těmito předměty:Romeo&Juliet where is my juliet ? where is my romeo ? last wish ??? lol :) !!! newborn merry christmas! surprise ! Caution: NEW VIRUS ! scandal !Zpráva je v HTML formátu a obsahuje skript, který otevírá přiložený soubor xjuliet.CHM. Tento soubor nápovědy obsahuje kód, který spouští další přiložený soubor - XROMEO.EXE. Červ je na infikovaném počítači uložen v souboru C:\Windows\sysrnj.exe. To je vlastní kód červa (je napsán v Delphi a komprimován pomocí UPX), který po svém spuštení vyrobí a rozešle infikované maily na adresy z adresáře Outlooku. Aby zvýšil své šance na šíření, zaregistruje se jako asociovaný program k těmto příponám: exe, jpg, jpeg, jpe, bmp, gif, avi, mpg, mpeg, wmf, wma, wmv, mp3, mp2, vqf, doc, xls, zip, rar, lha, arj, regPokud nyní dvakrát kliknete na soubor s jednou s těchto přípon, místo správného programu se spustí červ, který přepíše obsah tohoto souboru sebou samým a ke jménu přidá ".exe". Tedy například mujdoc.doc přejmenuje na mujdoc.doc.exe a místo dokumentu nyní obsahuje pouze virus. Velmi nepříjemná věc je registrace .exe přípony. Pokud totiž smažete soubor sysrnj.exe, nelze nyní spustit jakýkoli .exe soubor. Podobná situace nastává s červem Navidad. Pro správné odstranění je nutné opravit záznam v registrech a to: klíč "HKCR\.exe\(Default)" opravit na "exefile" Nyní je možné smazat soubor sysrnj.exe. Ostatní registrované přípony však nelze jednoduše opravit, neboť nelze říct, ke kterému programu příslušely. Je nutno ručně obnovit registraci a to buďto v nastavení programu nebo například pomocí Průzkumníka. Pro rozesílání mailu se snaží použít 18 polských SMTP serverů, které jsou špatně nakonfigurovány a mohou komukoliv posloužit k odeslání zprávy. Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG |
|||
|