|
|
| 3.10.2002 - StraÜidlo |
Ne, nezblßznil jsem se, ani jsem tuto strßnku nep°ed∞lal na encyklopedii nejr∙zn∞jÜφch p°φÜerek. Pouze se sna₧φm popsat jednoho z pom∞rn∞ "poveden²ch" internetov²ch Φervφk∙ (v originßle Bugbear, tedy StraÜidlo), kter² se zaΦφnß raketov∞ Üφ°it, a sv²m chovßnφm trochu vyboΦuje z °ady ostatnφch Φerv∙. Nap°φklad deaktivuje antivirovΘ programy, firewally a takΘ nainstaluje pom∞rn∞ d∙myslnß zadnφ vrßtka do napadenΘho poΦφtaΦe. Bli₧Üφ informace v Φlßnku.
Zßkladnφ informace o viru
Jak jsem ji₧ °ekl, tento virus je opravdov²m straÜßkem asi pro ka₧dΘho sv∞domitΘho sprßvce, a nejej pro n∞j. OznaΦujeme jej jako I-Worm/Keywo, nebo takΘ W32.Bugbear@mm, zßle₧φ na antivirovΘm programu. My mu ale budeme °φkat StraÜidlo.
èφ°enφ
TΘm∞° jako obvykle. Do schrßnky Vßm p°φjde docela nevinn∞ vyhlφ₧ejφcφ e-mail s nßhodn²m p°edm∞tem a textem. Nenechte se uchlßcholit tvrzenφm, ₧e virus chodφ jen s cizajazyΦn²mi texty. M∞ p°iÜel i v Φesky psanΘm e-mailu. Je vid∞t, ₧e si vybφrß nßhodnΘ texty z e-mailov²ch zprßv v napadenΘm poΦφtaΦi.
Jako odesφlatel m∙₧e b²t osobß Vßm d∙v∞rn∞ znßmß, Φi jen n∞kdo, kdo Vßs mß v adresß°i. Podle symantecu si virus v registrech poΦφtaΦe naΦte defaultnφ nastavenφ VaÜeho e-mailu, Vßs SMTP server a s t∞mito ·daji vyu₧ije vlastnφ smtp rozhrani pro rozesφlßnφ, ale m∞ ji₧ p°iÜel i e-mail se smyÜlenou adresou, tak₧e je mo₧nΘ, ₧e se Üφ°φ vice mutacφ.
Instalace
Virus se nahraje do adresß°e system, Φi system32 (podle verze Windows) a provede zßznamy v registru pro automatickΘ spuÜt∞nφ. JmΘno souboru je nßhodnΘ a velikost kolφsß okolo 50 KB.
Virus se takΘ umφ z ji₧ napadenΘho poΦφtaΦe dostat do sφ¥ovΘho okolφ, tedy pokud tam mß p°φstup. Tak₧e pozor. Nahraje se toti₧ do adresß°e Po spuÜt∞nφ a za pßr hodin tak m∙₧e b²t v celΘ sφti.
DestrukΦnφ Φinnost
Opravdu zajφmavß. Ihned po spuÜt∞nφ se sna₧φ vyhledat v seznamu b∞₧φcφch proces∙ nejpou₧φvan∞jÜφ firewally a antivirovΘ programy a deaktivovat je. Takto se chovß v pravideln²ch intervalech, tak₧e i kdy₧ firewall znovu nastartujete, za chvφli je op∞t dole. Kupodivu si poradφ i s Φesk²mi produkty, tak₧e neusn∞te na vav°φnech. Kompletnφ seznam proces∙, kterΘ umφ ukonΦit, si m∙₧ete p°eΦφst po kliknutφ na odkaz na konci Φlßnku.
Dßle do systΘmu nainstaluje pom∞rn∞ d∙myslnß zadnφ vrßtka. Poznßte je podle otev°enΘho portu 36794. Pokud se na napaden² poΦφtaΦ ·toΦnφk napojφ tak m∙₧e:
- mazat soubory
- ukonΦovat a spouÜt∞t programy
- provßd∞t v²pis spuÜt∞n²ch aplikacφ a doruΦovat tento v²pis ·toΦnφkovi
- zachytßvat stisknutΘ klßvesy, co₧ m∙₧e vΘzt i k vyzrazenφ p°ihlaÜovacφch ·daj∙
- vyhledßvat informace, jako:
- jmΘno u₧ivatele
- seznam disk∙, a to i sdφlen²ch
- pokud b∞₧φ na Win9X, tak i hesla p°ßv∞ p°ihlßÜenΘho u₧ivatele.
Mo₧nostφ je jeÜt∞ mnohem vφce, ale tyto jsou asi nejd∙le₧it∞jÜφ.
Odstran∞nφ Φerva
Nenφ tak jednoduchΘ, proto₧e se musφ poΦφtat s Üφ°enφm p°es sφ¥. Pokud je VßÜ poΦφtaΦ "o samot∞", tak je situace mnohem jedoduÜÜφ. Prost∞ si staΦφ stßhnout lΘΦφcφ utilitu od spoleΦnosti Grisoft, spustit a nejchat ji pracovat a lΘΦit.
Pokud jste spojeni sφtφ, tak se doporuΦuje spustit poΦφtaΦ v nouzovΘm re₧imu, nebo jej od sφt∞ odpojit a postupovat obdobn²m zp∙sobem. Pozor ale na jednu v∞c. Do sφt∞ poΦφtaΦ p°ipojte a₧ tehdy, kdy₧ budou odvirovßny i ostatnφ poΦφtaΦe v sφti. Lehce by se toti₧ mohlo stßt, ₧e by se straÜidlo nßhrßlo od sousednφho poΦφtaΦe a po p°φÜnφm restartu byste byly tam, kde p°ed vylΘΦenφm.
Jinak kompletnφ informace si m∙₧ete p°eΦφst na tΘto strßnce.
Pokud chcete b²t v bezpeΦφ, doporuΦuji updatovat definiΦnφ soubory svΘho antivirovΘho programu. V∞tÜina antivirov²ch spoleΦnostφ ji₧ na v²skyt tohoto viru zareagovala. T°eba spoleΦnost Grisoft vydala mimo°ßdnou aktualizaci.
To je zatφm vÜe. Nenechte se vystraÜit.
Admin AF
|
|
P°φsp∞vky ke Φlßnku:
|
| Novinka |
| Startuje nßÜ vlastnφ projekt na vydßvßnφ elektronick²ch certifikßt∙. |
| Reklama |
| Reklama na Access Forbidden - Info |
|
