MIMAIL - robak internetowy
Wirus rozsyła do wszystkich adresów znalezionych w zainfekowanym komputerze wiadomość o następującej składni:
OD:Admin (ADMIN@twoja_domena)
TEMAT: your account %twoje_konto%:
TREŚĆ:
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
— Best regards, Administrator
ZAŁĄCZNIK: message.zip
Nawiązując do wypowiedzi Sebastiana Szaniawskiego i dAs :
Wczoraj pojawiła się informacja o robaku Scob. Prezentujemy kilka praktycznych informacji o tym trojanie:
Informacje o robaku
Scob (nazywany również "Download.Ject", "JS.Scob.Trojan", lub "JS.Toofeer") jest prostym trojanem wykorzystującym przeglądarkę Internet Explorer w systemie Microsoft Windows. Atakuje on serwery: robak do każdej strony www którą pobieramy z zainfekowanego serwera dodaje kod w języku JavaScript. Nieświadomie odwiedzając taką stronę (uważaną dotychczas za bezpieczną) nasz komputer może zostać zainfekowany, dając w ten sposób hakerom dostęp do danych znajdujących się na dysku twardym.
Co zrobić aby zabezpieczyć komputer
Zainstaluj najnowsze aktualizacje
Najnowsze aktualizacje można automatycznie pobrać ze strony Windows Update (http://windowsupdate.microsoft.com/) lub z działu z poprawkami na CentrumXP.pl (http://www.centrumxp.pl/download/update/).
Sprawdź czy twój komputer nie jest zainfekowany
Można to zrobić ręcznie, sprawdzając czy na dysku nie ma plików:
Kk32.dll
Surf.dat
lub skorzystać z programu antywirusowego:
Warto sprawdzić czy antywirus posiada już definicję robaka. Jeśli program posiada opcję automatycznego uaktualniania swojej bazy przez Internet, nie będzie z tym problemu.
PS. Symantec, dAs , już przedwczoraj wypuścił stosowne definicje,
http://securityresponse.symantec.com/avcenter/venc/data/js.scob.trojan.html
Scob - trojan stron internetowych
• 28/6/2004
Scob jest koniem trojańskim, którego działanie polega na dodawaniu własnego wywołania w postaci stopki do stron www obsługiwanych przez serwery Microsoft IIS.
Trojan tworzy swoją kopię na dysku w trzech plikach o nazwie iis[3 losowe znaki].dll oraz modyfikuje tak konfigurację serwera www Microsoft IIS, aby plik z kopią trojana był dołączany jako stopka do każdej serwowanej strony.
Efektem tego jest dołączanie do każdej serwowanej przez serwer strony kodu JavaScript powodującego pobieranie ze z Internetu dalszych komponentów robaka. Aktualnie miejsce skąd pobierane były komponenty robaka zostało zablokowane.
Errhijack - zmienia ustawienia przeglądarki
• 30/6/2004
Errhijack jest koniem trojańskim, którego działanie polega na zmianie strony wyświetlanej przez przeglądarkę Internet Explorer w momencie gdy strona o wpisanym przez użytkownika adresie nie istnieje.
Aktywny trojan zmienia ustawienia w kluczu rejestru:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AboutURLs
w następujących wartościach:
NavigationFailure
NavigationCanceled
OfflineInformation
blank
PostNotCached
Efektem tego jest pojawianie się w przeglądarce, zamiast komunikatu o błędzie przy źle wpisanym adresie strony, strony o treściach pornograficznych.
Doep - robak internetowy
• 2/7/2004
Doep jest robakiem internetowym, którego działanie polega się na rozprzestrzenianiu się za pośrednictwem programów do wymiany plików w Internecie.
Aktywny robak tworzy na dysku następujące pliki: poet.log, readme.txt, poet.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Następnie robak tworzy wiele swoich kopii oraz modyfikuje konfigurację programów do wymiany plików w Internecie tak by katalog z kopiami robaka był udostępniany w tych programach.
Kopie robaka mogą mieć następujące nazwy:
Full Downloader
LAST Official Patch
ALL Cracks
KeyGen
NOCD
Crack
I LiKe SuRFing on THe Web
Aprende a programar virus en 7 dias
More than 300 Game Cracks (astalavista.com Group)
How to crack Windows Xp and Office XP
Windows XP Password Recovery - Unlock Administrator
Mahjongg Deluxe
Pamela Anderson Multimedia Screen Saver
3d Studio Max All Cracks
All Panda Editions Cracks
NetsKy && Sasser Patch WIN XP Anti Virus
All Codecs (XVID, DIVX, OGG, OGM, AC3) for WIN Media Player
All Codecs (XVID, DIVX, OGG, OGM, AC3)
XVID Codec For Windows Media Player
Windows XP Pro Serial Key Changer
Adobe Photoshop CS 8
All Windows (95, 98, Me, Nt, 2000, Xp)
Service Pack 1 & 2 WIN XP
Windows Xp Sp2 Service Pack
Windows Xp Sp1 Service Pack
WindowsXP-KB835732-x86-ESN
Patch Sasser FixTool
Gran Turismo 4
Gran Turismo 3
City of Heroes
Metal Gear Solid 3 - Snake Eater
EverQuest 2
EverQuest
The Sims (all expansions)
The Sims 2
Halo 2
Metal Gear Acid
Metal Gear Solid
CSI
Psi - Ops
Black Window
Empire Earth Art of Conquest
Empire Earth
Halflife 2
Halflife
Lord of the Rings - The Two Towers
Lord of the Rings - Return of the King
Lord of the Rings - Fellowship of The Ring
Dynomite
World of Warcraft (play online free)
Star Wars Galaxies (how to play free online)
Ragnarok Online
Warcraft Online
Dungeon keeper 2
Diablo
Diablo 2
Diablo 2 Lord Of Destruction
Unreal Tournament 2003
Unreal 2 - The Awakening
Unreal Tournament
Unreal 2
Quake 4
Quake 3
Battlefield Vietnam
Battlefield 1942 - Secret Weapons of WWII
Battlefield 1942 - Road To Rome
Battle Realms
Battle Realms - Winter of Wolf
Baldurs Gate
Baldurs Gate 2
Baldurs Gate 2 - Throne of bhaal
Counter Strike - Condition Zero
Counter Strike (serials for internet)
Command & Conquer - Renegade
Commandos
Commandos 2
Commandos 3 - Destination Berlin
Colin McRae Rally 3
Civilization 3 - Conquests
Civilization 3
ChampionShip Manager
Call of Duty PRIVATE SERVER
Principe de Persia - Sand of time
Pc Futbol
Pc Real Madrid
Phantasy Star Online
Alien Vs Predator 2
Alien Vs Predator
Age of Mythology - The Titans Expansion
Age of Mythology
Age of Empires - The Conquerors
Age of Empires - The age of Kings
Age of Empires - Rise of Rome
Age of Empires 2
Universal Combat
Battlecruiser Millennium Gold
PainKiller
Warcraft 3 - Reign Of Chaos
Warcraft 3 - Frozen Throne
Call of Duty
Splinter Cell Pandora Tomorrow
Splinter Cell
Starcraft BroodWar
BattleField 1942
Age of Empires
http://www.CompressedXXXVideos.com
DIVX 5.1.1
–The Best Compressed videos DIVX 5–
–Video Collection–
-. Self-Extracting .-
HENTAI
Anime
Norton
Shaved
fucked
Girl
amateur
espa
olas
preteen
ANIME .- Hentai -.
cumshot
casting
13 years
Sylvia Saint
Pamela Anderson
Merrit Cabal && Pamela Anderson
playboy
3000 photos
video
hidden camera
couple
bed
naked
Sucks
fucking
■■■■
sex
sybian
sister
porn
adult
incest
rape
bitch
slut
french
cute
young
teen
qwerty
pussy
lolita
britney spears
lesbian
upskirt
sexe
porno
photos
019.-.Nikki.-.fuckingmachines.com.-
(on-sex-machines-sybian-lesbian-dildo-penetration-vibrator)-.shadow
Young.Blonde.Lesbians…#129…-…Candy.Films…HOT!.CD.Girls.Als.
Porn.Lesbian.xxx.breasts.vibrator.sybian.dildo.piss.pissing.fisting
cdgirls_movie-.sybian-.aria.giovanni.HOT.orgasm
BEST.young.teen.underage.anal.rape.sex.hot.fucking.blond.porn.xxx.
-.COMPLETE.10megs
Teen.Anal.Sex.Pornos.Videos.Pics.Pictures.Movies.Mpegs.Mpgs.Avis.Black.
Asian.Gay.Lesbian.Hardcore.Girls.Teens.Nude.Fucki.mpg
hot.drunk.teen.topless.15yr.-.homemade.sister.nude.tits.sex.xxx.qwerty.
ddoggprn.topless.rape.incest
Private-Xxx-Julia.Chanel.1Er.Casting.Hard-Video.DivX.Fr.Teen.Sex.Sexe.avi
teen.couple.on.bed.naked.having.sex.14.15.16.17.amateur.xxx.girl.boy.tits.
ass.lolita.illegal.high.school.voyeur(1)
Teen.Girl.Gets.Fucked.With.Cock.In.Pussy.And.Sucks.French.Cumshot.(Blowjob).
Ass.Anal.Lesbian.Dildo.Cunt.Porno.Dick.Xxx.A
Birthday.Parties.(Home.Movie;.Mpg;.Self-Extracting)…Incest.Xxx.■■■■.Porn.
Sex.Fisting.Oral.Blow.Job.Pre-Teen.Asian
Young.Teen.Casting.Firts.Time.On.Cam.(Thehunter.10Min).(Teen.Girl.Preteen.
Webcam.Sex.Child.Amateur.Voyeur.Boy.Thai.Asian.Nu
Katherine-young.13.year.old.pre-teen.lolita.bounces.on.a.much.older.mans.
love.muscle(incest.rape.teen.hardcore.sex.xxx)
My.Friend’'s.Hot.Blonde.Wife.Nude.At.A.Party.-.Slutty.XXX.Teen.Slut.Sex.Porn.
■■■■.Amateur.Tits.Ass.Pussy.Blowjob(5)
naughty.college.school.girls.6-best.porn.clip.ever.-.Divx.mpg.avi.Porno.teen.XXX.
movie.sex.blonde.redhead.gangbang.cumshot.mpg
17yr.boy.doggyfuck.16yr.sister.brother.lolita.child.preteen.1(1)(lolitas,.sex,.
porn,.hentai,.manga,.rape,.anime,.tenchi,.britney.spears)
18.Year.Old.Being.Taught.By.Daddy.–.Fisting.Incest.Child.Teen.Preteen.Lolita.
Young.Gay.Porn
18.Year.Old.Girlfriend.Playing.With.Her.Pussy.(Tits.Amateur.Sex.Teen.Lolita.
■■■■.Orgasm)
16yo.cute.shaved.lolita.spread.legs.-.7ee3.-…bald.pussy.teen.cunt…-.sex.ass.
incest.preteen.kiddy.porn.bdsm.bitch.whore
BAMBINA-Collection_01-Real_Child_Porn! 
kiddy_incest_little_girl_rape_anal_cum_sex_lesb(1).mpg
spying.on.my.sister.-.young.teen,.hidden.camera,.exhibitionists,.amateur,.voyeur,
.spycams,.movies,.lolita,.lolitas,.ince.mpg
young.topless.pulling.down.panties…porn.teen.lolita.young.amatuer.■■■■.
playboy.pussy.tits.nude.voyeur.girl.sex
Incest.18Yr.Fucks.His.Mature.Mom.Mpg.Mpeg.Avi.Lolita.Porn.Teen
Lolita.College.Chick.Sucks.And.Fucks.Cucumber.In.Shaved.Hairless.Pussy.Xxx.
Teen.Sex.Porno
Pussy.Anna.Oman.Virginia.Pussy.Fistfuck.Shaved.Young.Teen.Sex.■■■■.Fist.Anal.
Lesbian.Hardcore.Dick.Porno.Lolita
teen.couple.on.bed.naked.having.sex.14.15.16.17.amateur.xxx.girl.boy.tits.ass.
lolita.illegal.high.school.voyeur
5.young.student.girls.fucked.by.2.gym.teachers.(Lolita.Teen.Preteen.Porn.
Rape.Sex.Nude).QWER
LOLITA…Italian.teen.-.best.ever…(xxx.porn.sex)
Young.Cute.French.Slut.Bitch.Practically.Rape.Incest.Sex.Xxx.Porno.Preteenage.
Lolita.Hardcore.■■■■.Anal.Blow.Job.■■■■.Ki
3000.fotos.photos.porno.XXX.sexe_upskirt_lesbian_britney.spears_lolita_pussy_
qwerty_teen_young
Nowy Poradnik AV polecam http://wirusy.wp.pl/kat,352,katn,wiadomości,wid,1457375,widn,Nowy%20Poradnik%20AV,wiadomosc.html
Beagle.Z - kolejna wersja znanego robaka
• 6/7/2004
Beagle.Z jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie. Od wersji Bagle.Y różni się tylko metodą pakowania - wykorzystywany PeX.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Od: [fałszywy adres]
Temat: [jeden z poniższych]
Changes…
Encrypted document
Fax Message
Forum notify
Incoming message
Notification
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks 
Re: Yahoo!
Site changes
Update
Treść: [jedna z poniższych]
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Here is the file.
Message is in attach
More info is in attach
Pay attention at the attach.
Please, have a look at the attached file.
Please, read the document.
Read the attach.
See attach.
See the attached file for details.
Your document is attached.
Your file is attached.
Załącznik: [poniższa nazwa].[hta, vbs, exe, scr, com, cpl, zip]
Information
Details
text_document
Updates
Readme
Document
Info
MoreInfo
Message
W adres nadawcy robak wstawia losowy adres email odnaleziony na zarażonym komputerze, zatem osoba pojawiająca się jako nadawca listu z robakiem nie jest jego prawdziwym nadawcą.
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w plikach cplstub.exe, loader_name.exe, loader_name.exeopen, loader_name.exeopenopen oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak kasuje wpisy:
“My AV”
“Zone Labs Client Ex”
“9XHtProtect”
“Antivirus”
“Special Firewall Service”
“service”
“Tiny AV”
“ICQNet”
“HtProtect”
“NetDy”
“Jammer2nd”
“FirewallSvr”
“MsInfo”
“SysMonXP”
“EasyAV”
“PandaAVEngine”
“Norton Antivirus AV”
“KasperskyAVEng”
“SkynetsRevenge”
“ICQ Net”
z rejestrów systemu z kluczy:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dodatkowo robak pozwala na przejęcie kontroli nad zainfekowanym komputerem poprzez sieć nasłuchując na komendy na porcie 1234.
Robak rozsyła własne kopie za pomocą poczty elektronicznej, wykorzystując do tego własny silnik SMTP, na adresy odnalezione na zainfekowanym komputerze, w plikach o rozszerzeniach wab, txt, msg, htm, shtm, stm, xml, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi, mht, dhtm, jsp.
Na koniec robak tworzy swoje kopie w katalogach zawierających w nazwie ciąg shar, starając się w ten sposób stworzyć swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie. Kopie te mają następujące nazwy:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Tekst: MKS Sp. z o.o.
Mota.A - robak email • 7/7/2004
Mota.A jest robakiem przenoszącym się poprzez pocztę elektroniczną.
Po uruchomieniu pliku robaka tworzy on trzy pliki w katalogu Windows (domyślnie to c:\windows lub c:\winnt zależnie od wersji systemu). Dwa z nich to pliki robaka o losowych nazwach i rozszerzeniach exe i dll, trzeci to plik cfg.dat. Następnie robak dodaje swoje wywołanie do klucza rejestrów:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
by robak był uruchamiany przy każdym starcie systemu.
Następnie robak próbuje uzyskać połączenie na porcie 6667 z jednym z następujących serwerow IRC:
quebec.qu.ca.undernet.orggraz2.at.eu.undernet.org
los-angeles.ca.us.undernet.org
newbrunswick.nj.us.undernet.org
i zaczyna oczekiwać na polecenia od ew. hakera.
W plikach o rozszerzeniach htm, html, dbx, txt robak wyszukuje adresy email, na które następnie zaczyna wysyłkę samego siebie. Robak wysyła się w postaci listów email o następujących parametrach:
Od: [składany z poniższych elementów]
email+us
contact+us
contact
company
orders
billing
purchasing
webmaster
customerservice
customers
sales
buy
accounts
profile
members
msn
icq
messengeraim
[po znaku “@” dodawany jest człon]
tiscali
free
wanadoo
msn
hotmail
aol
yahoo
[zaśpo kropce człon]
com
de
it
be
fr
org
edu
Temat i treść mail’'a jest losowa. Jako załącznik dodawane jest cialo robaka w postaci pliku o losowej nazwie i rozszerzeniu zip, scr, pif.
Likmet.A - koń trojański komunikatora MSN Messenger
• 8/7/2004
Likmet.A jest koniem trojańskim wyświetlającym okno logujące do komunikatora MSN Messenger oraz wykradającym hasła logujące użytkowników w tym komunikatorze.
Trojan przenosi się w postaci pliku o nazwie Net Echo.exe między użytkownikami komunikatora MSN Messenger. Po uruchomieniu pliku trojana wyświetla on komunikat o treści “runtime error 429. Not enough memory”. Następnie trojan otwiera port 88 i zaczyna oczekiwać na polecenia od ewentualnego hakera.
W nastepnej kolejności trojan otwiera okno logujące do komunikatora MSN Messenger i przechwytuje wpisywane haslo, ktore nastepnie zostaje przesłane do użytkownika, ktory przesłał plik trojana.
SpywareBlaster 3.0
http://www.idg.pl/ftp/pc_3205/SpywareBlaster.3.0.html
Program zapobiega zainstalowaniu na lokalnym komputerze oprogramowania szpiegowskiego typu spyware. Aplikacja nie jest w stanie wykryć, czy na danej maszynie już jest jakiś szkodliwy program, jej działanie jest więc czysto prewencyjne. SpywareBlaster zapobiega rozprzestrzenianiu się trojanów za pomocą kontrolek ActiveX, dzięki czemu można pracować w Internecie bez konieczności wyłączania ich obsługi. Uaktualnioną listę groźnego oprogramowania można pobrać z serwerów producenta z poziomu samego programu.
Botex - klasyczny koń trojański
• 9/7/2004
Botex jest klasycznym koniem trojańskim umożliwiającym zdalny dostęp do komputera, na którym jest zainstalowany, przez potencjalnych hakerów.
Po uruchomieniu pliku trojana tworzy on następujące pliki w katalogach systemu Windows:
w katalogu systemowym (domyślnie c:\windows\system lub c:\windows\system32 albo c:\winnt\system32 zależnie od wersji Windows) tworzy pliki [losowe znaki].exe.tmp i [losowe znaki].exe
w katalogu Windows (domyślnie c:\windows lub c:\winnt zależnie od wersji Windows) tworzy pliki IsUninst.exe, IsUn0404.exe i IsUn0804.exe.
Następnie trojan dodaje swoje wywołanie do rejestrów systemu po to, by być uruchamianym przy każdym starcie systemu.
Po tym trojan otwiera port 2222 i zaczyna oczekiwać na polecenia od ewentualnego hakera. Trojan umożliwia wykradanie haseł, wrzucanie, pobieranie i kasowanie plików, “podsłuchiwanie” klawiatury oraz ściąganie zrzutów ekranowych.
Beagle.AA - robak internetowy
• 13/7/2004
Beagle.AA jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Od: [fałszywy adres]
Temat: [jeden z poniższych]
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes…
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
Treść: [jedna z poniższych]
For security reasons attached file is password protected.
The password is
For security purposes the attached file is password protected.
Password –
Note: Use password
Attached file is protected with the password for security reasons.
Password is
In order to read the attach you have to use the following password:
Archive password:
Password
Password
Załącznik: [poniższa nazwa].[hta, vbs, exe, scr, com, cpl, zip]
IInformation
Details
text_document
Updates
Readme
Document
Info
MoreInfo
Message
W adres nadawcy robak wstawia losowy adres email odnaleziony na zarażonym komputerze, zatem osoba pojawiająca się jako nadawca listu z robakiem nie jest jego prawdziwym nadawcą.
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w plikach loader_name.exe, loader_name.exeopen, loader_name.exeopenopen oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak kasuje wpisy:
“My AV”
“Zone Labs Client Ex”
“9XHtProtect”
“Antivirus”
“Special Firewall Service”
“service”
“Tiny AV”
“ICQNet”
“HtProtect”
“NetDy”
“Jammer2nd”
“FirewallSvr”
“MsInfo”
“SysMonXP”
“EasyAV”
“PandaAVEngine”
“Norton Antivirus AV”
“KasperskyAVEng”
“SkynetsRevenge”
“ICQ Net”
z rejestrów systemu z kluczy:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dodatkowo robak pozwala na przejęcie kontroli nad zainfekowanym komputerem poprzez sieć nasłuchując na komendy na porcie 1234.
Robak rozsyła własne kopie za pomocą poczty elektronicznej, wykorzystując do tego własny silnik SMTP, na adresy odnalezione na zainfekowanym komputerze, w plikach o rozszerzeniach wab, txt, msg, htm, shtm, stm, xml, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi, mht, dhtm, jsp.
Na koniec robak tworzy swoje kopie w katalogach zawierających w nazwie ciąg shar, starając się w ten sposób stworzyć swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie. Kopie te mają następujące nazwy:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Lemoor.A - robak internetowy
• 14/7/2004
Lemoor.A jest robakiem internetowym, którego działanie polega na rozprzestrzenianiu się za pośrednictwem błędu w komponencie FTP robaka Sasser. Zatem robak infekuje komputery zainfekowane robakiem Sasser.
Aktywny robak tworzy na dysku swoją kopię oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamina przy każdym starcie systemu Windows.
Robak przechwytuje połączenia wykonywane przez robaka Sasser i uzyskuje z nich adresy IP komputerów infekowanych przez Sassera. Następnie wykorzystując błędy w komponencie FTP Sassera rozprzestrzenia się na zainfekowane wcześniej Sasserem komputery.
Atak - robak pocztowy
• 15/7/2004
Atak jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Temat: [jeden z poniższych]
Read the Result!
Important Data!
Treść:
Authorized Researcher Only.
Załącznik:
[losowe znaki].zip
Po uruchomieniu przez użytkownika pliku znajdującego się w archiwum załączonym do listu robak tworzy na dysku swoją kopię w pliku oraz modyfikuje tak rejestr i plik win.ini by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Aktywny robak wyszukuje na dysku pliki z rozszerzeniami: txt, eml, nch, mbx, htm, log, ods, mht, sht, php, cgi, asp, jsp, uin, dbx, msg, vbs, cfg, xml, html, tbb, adb, pl, wab aby uzyskać z nich adresy poczty elektronicznej.
Następnie rozsyła własne kopie za pomocą poczty elektronicznej na adresy odnalezione w trakcie swojego działania.
Beagle.AB - robak internetowy
• 16/7/2004
Beagle.AB jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Od: [fałszywy adres]
Temat: [jeden z poniższych]
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes…
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
Treść: [jedna z poniższych]
For security reasons attached file is password protected.
The password is
For security purposes the attached file is password protected.
Password –
Note: Use password
Attached file is protected with the password for security reasons.
Password is
In order to read the attach you have to use the following password:
Archive password:
Password
Password
Załącznik: [poniższa nazwa].[hta, vbs, exe, scr, com, cpl, zip]
Information
Details
text_document
Updates
Readme
Document
Info
MoreInfo
Message
W adres nadawcy robak wstawia losowy adres email odnaleziony na zarażonym komputerze, zatem osoba pojawiająca się jako nadawca listu z robakiem nie jest jego prawdziwym nadawcą.
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w plikach sysxp.exe, sysxp.exeopen, sysxp.exeopenopen oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak kasuje wpisy:
“My AV”
“Zone Labs Client Ex”
“9XHtProtect”
“Antivirus”
“Special Firewall Service”
“service”
“Tiny AV”
“ICQNet”
“HtProtect”
“NetDy”
“Jammer2nd”
“FirewallSvr”
“MsInfo”
“SysMonXP”
“EasyAV”
“PandaAVEngine”
“Norton Antivirus AV”
“KasperskyAVEng”
“SkynetsRevenge”
“ICQ Net”
z rejestrów systemu z kluczy:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dodatkowo robak pozwala na przejęcie kontroli nad zainfekowanym komputerem poprzez sieć nasłuchując na komendy na porcie 1234.
Robak rozsyła własne kopie za pomocą poczty elektronicznej, wykorzystując do tego własny silnik SMTP, na adresy odnalezione na zainfekowanym komputerze, w plikach o rozszerzeniach wab, txt, msg, htm, shtm, stm, xml, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi, mht, dhtm, jsp.
Robak wyłącza rezydente monitory niektórych programów antywirusowych i firewalli (monitor antywirusowy programu mks_vir nie zostaje wyłączony), których procesy mają następującą nazwę:
outpost.exe
nmain.exe
norton_internet_secu_3.0_407.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nprotect.exe
nsched32.exe
ntvdm.exe
nvarch16.exe
kerio-wrp-421-en-win.exe
killprocesssetup161.exe
ldpro.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lsetup.exe
cleanpc.exe
avprotect9x.exe
cmgrdian.exe
cmon016.exe
cpf9x206.exe
cpfnt206.exe
cv.exe
cwnb181.exe
cwntdwmo.exe
icssuppnt.exe
defwatch.exe
deputy.exe
dpf.exe
dpfsetup.exe
drwatson.exe
ent.exe
escanh95.exe
avxquar.exe
escanhnt.exe
escanv95.exe
avpupd.exe
exantivirus-cnet.exe
fast.exe
firewall.exe
flowprotector.exe
fp-win_trial.exe
frw.exe
fsav.exe
autodown.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
gbmenu.exe
gbpoll.exe
guard.exe
guarddog.exe
hacktracersetup.exe
htlog.exe
hwpe.exe
iamapp.exe
iamapp.exe
iamserv.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
ifw2000.exe
iparmor.exe
iris.exe
jammer.exe
atupdater.exe
aupdate.exe
kavlite40eng.exe
kavpers40eng.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
borg2.exe
bs120.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
autoupdate.exe
cfinet.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ncinst4.exe
autotrace.exe
ndd32.exe
neomonitor.exe
netarmor.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
nisserv.exe
nisum.exe
cfiaudit.exe
lucomserver.exe
agentsvr.exe
anti-trojan.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
atcon.exe
atguard.exe
atro55en.exe
atwatch.exe
avconsol.exe
avgserv9.exe
avsynmgr.exe
bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe
bipcpevalsetup.exe
bisp.exe
blackd.exe
blackice.exe
bootwarn.exe
nwinst4.exe
nwtool16.exe
ostronet.exe
outpostinstall.exe
outpostproinstall.exe
padmin.exe
panixk.exe
pavproxy.exe
drwebupw.exe
pcc2002s902.exe
pcc2k_76_1436.exe
pcciomon.exe
pcdsetup.exe
pcfwallicon.exe
pcfwallicon.exe
pcip10117_0.exe
pdsetup.exe
periscope.exe
persfw.exe
pf2.exe
avltmain.exe
pfwadmin.exe
pingscan.exe
platin.exe
poproxy.exe
popscan.exe
portdetective.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
procexplorerv1.0.exe
proport.exe
protectx.exe
pspf.exe
wgfe95.exe
whoswatchingme.exe
avwupd32.exe
nupgrade.exe
whoswatchingme.exe
winrecon.exe
wnt.exe
wradmin.exe
wrctrl.exe
wsbgate.exe
wyvernworksfirewall.exe
xpf202en.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
cfinet32.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cmgrdian.exe
cmon016.exe
cpd.exe
cfgwiz.exe
cfiadmin.exe
purge.exe
pview95.exe
qconsole.exe
qserver.exe
rav8win32eng.exe
regedt32.exe
regedit.exe
update.exe
rescue.exe
rescue32.exe
rrguard.exe
rshell.exe
rtvscn95.exe
rulaunch.exe
safeweb.exe
sbserv.exe
sd.exe
setup_flowprotector_us.exe
setupvameeval.exe
sfc.exe
sgssfw32.exe
sh.exe
shellspyinstall.exe
shn.exe
smc.exe
sofi.exe
spf.exe
sphinx.exe
spyxx.exe
ss3edit.exe
st2.exe
supftrl.exe
luall.exe
supporter5.exe
symproxysvc.exe
sysedit.exe
taskmon.exe
taumon.exe
tauscan.exe
tc.exe
tca.exe
tcm.exe
tds2-98.exe
tds2-nt.exe
tds-3.exe
tfak5.exe
tgbob.exe
titanin.exe
titaninxp.exe
tracert.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
undoboot.exe
vbcmserv.exe
vbcons.exe
vbust.exe
vbwin9x.exe
vbwinntw.exe
vcsetup.exe
vfsetup.exe
virusmdpersonalfirewall.exe
vnlan300.exe
vnpc3000.exe
vpc42.exe
vpfw30s.exe
vptray.exe
vscenu6.02d30.exe
vsecomr.exe
vshwin32.exe
vsisetup.exe
vsmain.exe
vsmon.exe
vsstat.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
w32dsm89.exe
w9x.exe
watchdog.exe
webscanx.exe
cfiaudit.exe
cfinet.exe
icsupp95.exe
mcupdate.exe
cfinet32.exe
clean.exe
cleaner.exe
luinit.exe
mcagent.exe
mcupdate.exe
mfw2en.exe
mfweng3.02d30.exe
mgui.exe
minilog.exe
moolive.exe
mrflux.exe
msconfig.exe
msinfo32.exe
mssmmc32.exe
mu0311ad.exe
nav80try.exe
zauinst.exe
zonalm2601.exe
Na koniec robak tworzy swoje kopie w katalogach zawierających w nazwie ciąg shar, starając się w ten sposób stworzyć swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie. Kopie te mają następujące nazwy:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Mydoom.L - robak internetowy
• 21/7/2004
Mydoom.L jest szyfrowanym robakiem do masowego rozsyłania się za pomocą poczty elektronicznej. W działaniu jest on podobny do pierwowzoru Mydoom.A.
W momencie uruchomienia pliku robaka wykonuje on następujące czynności:
tworzy swoją własną kopię w katalogu systemowym Windows (domyślnie c:\windows\system, c:\winnt\system32 lub c:\windows\system32 zależnie od wersji systemu) do pliku lsass.exe
dodaje swoje własne wywołanie do klucza rejestrów:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
by robak mógł uruchamiać się przy każdym starcie systemu
przeszukuje dyski twarde komputera w poszukiwaniu plików o rozszerzeniach doc, txt, htm, html w poszukiwaniu adresów email na które następnie będzie się rozsyłał
rozpoczyna masową wysyłkę na wcześniej znalezione adresy email w następującej postaci:
Temat: [jeden z poniższych]
say helo to my litl friend
click me baby, one more time
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
Załącznik: [poniższa nazwa].[bat, cmd, com, exe, pif, scr, zip]
[pusta]
attachment
document
file
letter
message
readme
text
transcript
Kuna - wirus makr Worda
• 22/7/2004
Kuna jest prostym wirusem makr Worda 97, którego działanie polega na infekowaniu kolejnych dokumentów Worda.
Aktywny wirus modyfikuje globalny szablon normal.dot, czego efektem jest infekowanie wszystkich kolejno edytowanych w tym komputerze dokumentów Worda.
Dodatkowo wirus wyłącza ochronę makr w edytorze Word oraz wyświetla okienka informacyjne.
Gdy użytkowink wybiera na zainfekowanym komputerze w edytorze Word opcję Narzędzia > Makra wtedy pojawia się następujące okienko:
MACROS HAVE BEEN phylosophized
(using UDSM-phylo encoding, You are Virus FREE!)
Przy próbie obejrzenia kodu makr oraz przy zamykaniu Worda pojawia się okienko o następującej treści:
Special Message
''We are rockin, and we are out there …
Thanks To the UDSM Administration for always considaring
Students Interests Whenever Decisions are Made conserning
The welfare of UDSM Community."
Special Thanks to All Those who think that Students Have the
Least priority in this University, and those who think
That students are only disturbibg when they are fighting for their rights
Without considering the fact that they never think of them
or their problems when they are not ‘‘disturbing’’
Hey! I think there are a few wise guys out there there
To mention a few Big up to
(1) Prof. Shivji
(2) Prof. Chachage
(3) Prof. Matayo
You guys sometimes really think …
By UDSM Student (aliyekereka mno)
Poza infekowaniem kolejnych dokumentów i wyświetlaniem komunikatów wirus nie posiada żadnych właściwości destrukcyjnych.
Seliuq.D - wirus makrowy
• 26/7/2004
Seliuq.D jest wirusem makrowym, którego działanie polega na infekowaniu kolejnych dokumentów Worda 97 oraz rozsyłaniu komunikatów w sieci lokalnej.
Aktywny wirus infekuje globalny szablon programu Microsoft Word, czego efektem jest infekowanie wszystkich edytowanych na danym komputerze dokumentów.
Dodatkowo wirus z prawdopodobieństwem 10%, w dniach od 9 do 15 każdego miesiąca, rozsyła, za pomocą usługi Windows Messenger, w sieci lokalnej komunikaty. Jeżeli na komputerze jako kraj ustawiona jest: Argentyna, Chile, Ameryka Łacińska, Meksyk, Peru, Hiszpania, Wenezuela, to komunikat może być jeden z poniższych:
Me c*go en tu m*dre
Eres una P*ta
P*rra arr*bal*ra
J*dete c*m*pinga
So c*lo r*to
Est* es para que *prendas. Ch*lo de V*eja
So M*ric?
Que p*erco eres, c*rdo, m*rrano!
Que m*mal*na eres
Eres un p*j*so
W przydku innych krajów komunikat ma jedną z poniższych treści:
F*ck you
B*tch
M*therF*cker
F*ck you as*h*le
A*sh*le
B*stard
D*c Head
You are a P*G!
You L*mer
M*ron
Poza tymi działaniami wirus nie zawiera żadnych procedur destrukcyjnych.