Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

I-Worm/Verona.A

Jednoduchý červ polského původu, který se rozesílá ve zprávách s těmito předměty:
    Romeo&Juliet
    
    :))))))
    hello world
    !!??!?!?
    subject
    ble bla, bee
    I Love You ;)
    sorry...
    Hey you !
    Matrix has you...
    my picture
    from shake-beer
    
Zpráva je v HTML formátu a obsahuje skript, který otevírá přiložený soubor MYJULIET.CHM. Tento soubor nápovědy zůstane po svém otevření na obrazovce minimalizován a v něm obsažený kód spouští další přiložený soubor - MYROMEO.EXE.
To je vlastní kód wormu (je napsán v Delphi a komprimován pomocí UPX), který po svém spuštění vyrobí a rozešle infikované maily na adresy z adresáře Outlooku.
Jakmile s rozesíláním skončí, tak najde v paměti běžící kopii souboru HH.EXE a ukončí její činnost. Tento program slouží k zpracování .CHM souborů a virus tak zruší proces, který posloužil k jeho spuštění - MYJULIET.CHM.
Pro rozesílání mailů se snaží použít šest polských SMTP serverů, které jsou špatně nakonfigurovány a mohou komukoliv posloužit k odeslání zprávy.

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG


Verona.B

Jednoduchý červ polského původu, který se rozesílá ve zprávách s těmito předměty:
    Romeo&Juliet
    
    where is my juliet ?
    where is my romeo ?
    last wish ???
    lol :)
    !!!
    newborn
    merry christmas!
    surprise !
    Caution: NEW VIRUS !
    scandal !
    
Zpráva je v HTML formátu a obsahuje skript, který otevírá přiložený soubor xjuliet.CHM. Tento soubor nápovědy obsahuje kód, který spouští další přiložený soubor - XROMEO.EXE.
Červ je na infikovaném počítači uložen v souboru C:\Windows\sysrnj.exe.
To je vlastní kód červa (je napsán v Delphi a komprimován pomocí UPX), který po svém spuštení vyrobí a rozešle infikované maily na adresy z adresáře Outlooku.
Aby zvýšil své šance na šíření, zaregistruje se jako asociovaný program k těmto příponám:
    exe, jpg, jpeg, jpe, bmp, gif, avi, mpg, mpeg, wmf, wma, wmv, mp3, mp2, vqf, doc, xls, zip, rar, lha, arj, reg 
    
Pokud nyní dvakrát kliknete na soubor s jednou s těchto přípon, místo správného programu se spustí červ, který přepíše obsah tohoto souboru sebou samým a ke jménu přidá ".exe". Tedy například mujdoc.doc přejmenuje na mujdoc.doc.exe a místo dokumentu nyní obsahuje pouze virus.
Velmi nepříjemná věc je registrace .exe přípony. Pokud totiž smažete soubor sysrnj.exe, nelze nyní spustit jakýkoli .exe soubor. Podobná situace nastává s červem Navidad. Pro správné odstranění je nutné opravit záznam v registrech a to: klíč "HKCR\.exe\(Default)" opravit na "exefile" Nyní je možné smazat soubor sysrnj.exe.
Ostatní registrované přípony však nelze jednoduše opravit, neboť nelze říct, ke kterému programu příslušely. Je nutno ručně obnovit registraci a to buďto v nastavení programu nebo například pomocí Průzkumníka.
Pro rozesílání mailu se snaží použít 18 polských SMTP serverů, které jsou špatně nakonfigurovány a mohou komukoliv posloužit k odeslání zprávy.

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG


Zpět