Igiho strßnka o virech

I-Worm/Verona.A

Jednoduch² Φerv polskΘho p∙vodu, kter² se rozesφlß ve zprßvßch s t∞mito p°edm∞ty:

Romeo&Juliet

:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You ;)
sorry...
Hey you !
Matrix has you...
my picture
from shake-beer

Zprßva je v HTML formßtu a obsahuje skript, kter² otevφrß p°ilo₧en² soubor MYJULIET.CHM. Tento soubor nßpov∞dy z∙stane po svΘm otev°enφ na obrazovce minimalizovßn a v n∞m obsa₧en² k≤d spouÜtφ dalÜφ p°ilo₧en² soubor - MYROMEO.EXE.
To je vlastnφ k≤d wormu (je napsßn v Delphi a komprimovßn pomocφ UPX), kter² po svΘm spuÜt∞nφ vyrobφ a rozeÜle infikovanΘ maily na adresy z adresß°e Outlooku.
Jakmile s rozesφlßnφm skonΦφ, tak najde v pam∞ti b∞₧φcφ kopii souboru HH.EXE a ukonΦφ jejφ Φinnost. Tento program slou₧φ k zpracovßnφ .CHM soubor∙ a virus tak zruÜφ proces, kter² poslou₧il k jeho spuÜt∞nφ - MYJULIET.CHM.
Pro rozesφlßnφ mail∙ se sna₧φ pou₧φt Üest polsk²ch SMTP server∙, kterΘ jsou Üpatn∞ nakonfigurovßny a mohou komukoliv poslou₧it k odeslßnφ zprßvy.

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG

Verona.B

Jednoduch² Φerv polskΘho p∙vodu, kter² se rozesφlß ve zprßvßch s t∞mito p°edm∞ty:

Romeo&Juliet

where is my juliet ?
where is my romeo ?
last wish ???
lol :)
!!!
newborn
merry christmas!
surprise !
Caution: NEW VIRUS !
scandal !

Zprßva je v HTML formßtu a obsahuje skript, kter² otevφrß p°ilo₧en² soubor xjuliet.CHM. Tento soubor nßpov∞dy obsahuje k≤d, kter² spouÜtφ dalÜφ p°ilo₧en² soubor - XROMEO.EXE.
╚erv je na infikovanΘm poΦφtaΦi ulo₧en v souboru C:\Windows\sysrnj.exe.
To je vlastnφ k≤d Φerva (je napsßn v Delphi a komprimovßn pomocφ UPX), kter² po svΘm spuÜtenφ vyrobφ a rozeÜle infikovanΘ maily na adresy z adresß°e Outlooku.
Aby zv²Üil svΘ Üance na Üφ°enφ, zaregistruje se jako asociovan² program k t∞mto p°φponßm:

exe, jpg, jpeg, jpe, bmp, gif, avi, mpg, mpeg, wmf, wma, wmv, mp3, mp2, vqf, doc, xls, zip, rar, lha, arj, reg

Pokud nynφ dvakrßt kliknete na soubor s jednou s t∞chto p°φpon, mφsto sprßvnΘho programu se spustφ Φerv, kter² p°epφÜe obsah tohoto souboru sebou sam²m a ke jmΘnu p°idß ".exe". Tedy nap°φklad mujdoc.doc p°ejmenuje na mujdoc.doc.exe a mφsto dokumentu nynφ obsahuje pouze virus.
Velmi nep°φjemnß v∞c je registrace .exe p°φpony. Pokud toti₧ sma₧ete soubor sysrnj.exe, nelze nynφ spustit jak²koli .exe soubor. Podobnß situace nastßvß s Φervem Navidad. Pro sprßvnΘ odstran∞nφ je nutnΘ opravit zßznam v registrech a to: klφΦ "HKCR\.exe\(Default)" opravit na "exefile" Nynφ je mo₧nΘ smazat soubor sysrnj.exe.
Ostatnφ registrovanΘ p°φpony vÜak nelze jednoduÜe opravit, nebo¥ nelze °φct, ke kterΘmu programu p°φsluÜely. Je nutno ruΦn∞ obnovit registraci a to bu∩to v nastavenφ programu nebo nap°φklad pomocφ Pr∙zkumnφka.
Pro rozesφlßnφ mailu se sna₧φ pou₧φt 18 polsk²ch SMTP server∙, kterΘ jsou Üpatn∞ nakonfigurovßny a mohou komukoliv poslou₧it k odeslßnφ zprßvy.

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG