Zindos.A - robak internetowy

• 28/7/2004

Zindos.A jest robakiem internetowym którego działanie polega na rozprzestrzenianiu się pomiędzy maszynami zainfekowanymi robakiem Mydoom.M oraz dokonywaniu ataku typu Denial of Service wobec strony >microsoft.com.

Aktywny robak tworzy na dysku swoją kopię w pliku o losowej nazwie i rozszerzeniu exe oraz dodaje jego wywołanie do rejestru tak, by był automatycznie uruchamiany przy każdym starcie systemu Windows.

Następnie robak przeszukuje losowo komputery w Internecie w poszukiwaniu tych, na których otwarty jest port 1034, będący objawem działania robaka Mydoom.M. Jeżeli odnajdzie taki komputer tworzy na nim swoją kopię i ją uruchamia.

Na koniec robak wykonuje atak typu Denial of Service (DoS) wobec strony znajdującej się pod adresem http://www.microsoft.com

Korgo.Z - robak internetowy

• 29/7/2004

Korgo.Z jest robakiem internetowym, który do rozprzestrzeniania się wykorzystuje tą samą dziurę w systemie Windows co robak Sasser.

Robak tworzy swoją kopię na dysku w pliku o losowej nazwie i rozszerzeniu exe, a także modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak wyszukuje komputery w Internecie losowo wybierając ich adresy IP. Jeżeli odnaleziony komputer nie ma załatanej dziury (opisanej w biuletynie MS04-011), robak tworzy na nim swoją kopię. W ten sposób następuje rozprzestrzenianie.

Komputery zabezpieczone wcześniej odpowiednią łatą Microsoftu nie są automatycznie infekowane.

Korgo.Y - robak internetowy

• 29/7/2004

Korgo.Y jest robakiem internetowym, który do rozprzestrzeniania się wykorzystuje dziurę w systemie Windows opisaną tutaj.

Robak tworzy swoją kopię na dysku w pliku o losowej nazwie i rozszerzeniu exe, a także modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak wyszukuje komputery w Internecie losowo wybierając ich adresy IP. Jeżeli odnaleziony komputer nie ma załatanej dziury (opisanej w biuletynie MS04-011), robak tworzy na nim swoją kopię. W ten sposób następuje rozprzestrzenianie.

Dodatkowo robak oczekuje na komendy na losowym porcie oraz łączy się z kilkoma serwerami IRCa.

Komputery zabezpieczone wcześniej odpowiednią łatą Microsoftu nie są automatycznie infekowane.

Mydoom.N - robak internetowy

• 30/7/2004

Mydoom.N jest szyfrowanym robakiem rozsyłającym się za pomocą poczty elektronicznej. Jest on tylko drobną modyfikacją robaka Mydoom.M.

W momencie uruchomienia pliku robaka wykonuje on następujące czynności:

tworzy swoje kopie w katalogu systemowym Windows (domyślnie c:\windows\system, c:\winnt\system32 lub c:\windows\system32 zależnie od wersji systemu) w plikach java.exe i services.exe

dodaje swoje wywołanie do klucza rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

by mógł uruchamiać się przy każdym starcie systemu

przeszukuje dyski twarde komputera w poszukiwaniu plików o rozszerzeniach adb, asp, dbx, ht*, php, pl, sht, tbb, tx*, wab w poszukiwaniu adresów email na które następnie będzie się rozsyłał

rozpoczyna masową wysyłkę na wcześniej znalezione adresy email w następującej postaci:

Temat: [jeden z poniższych]

hello

hi

error

status

test

report

delivery failed

Message could not be delivered

Mail System Error - Returned Mail

Delivery reports about your e-mail

Returned mail: see transcript for details

Returned mail: Data format error

Załącznik: [poniższa nazwa].[bat, cmd, com, exe, pif, scr, zip]

readme

readme

instruction

transcript

mail

letter

file

text

attachment

document

message

Usuwanie robaka

Aby usunąć robaka należy pobrać i uruchomić bezpłatny program MksClean.exe

–>

Bugbros.C - robak pocztowy

• 2/8/2004

Bugbros.C jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: support@microsoft.com

Temat: New products

Treść:

Hi,

Update your Windows PC with Microsoft Windows Panel.

This tool is free and provided by Microsoft.

For more info read the disclaimer when you run the program.

bye

Załącznik: Twunk_64.exe

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku C:\Windows\Twunk_64.exe.

Następnie robak rozsyła swoje kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w książce adresowej systemu Windows.

Korgo.AD - robak internetowy

• 3/8/2004

Korgo.AD jest robakiem internetowym, który do rozprzestrzeniania się wykorzystuje tą samą dziurę w systemie Windows co robak Sasser.

Robak tworzy swoją kopię na dysku w pliku o losowej nazwie i rozszerzeniu exe, a także modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak wyszukuje komputery w Internecie losowo wybierając ich adresy IP. Jeżeli odnaleziony komputer nie ma załatanej dziury (opisanej w biuletynie MS04-011), robak tworzy na nim swoją kopię. W ten sposób następuje rozprzestrzenianie.

Komputery zabezpieczone wcześniej odpowiednią łatą Microsoftu nie są automatycznie infekowane.

Evaman.C - robak internetowy

• 4/8/2004

Evaman.C jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [fałszywy adres]

Temat: [jeden z poniższych]

SN: New secure mail

Secure delivery

failed transaction

Re: hello (Secure-Mail)

Re: Extended Mail

Delivery Status (Secure)

Re: Server Reply

SN: Server Status

Treść: [jedna z poniższych]

Automatically Secure Delivery: for

Mail Delivery Server System: for

Extended secure mail message available at:

Secure Mail Server Notification: for

New mail secure method implement: for

New policy requested by mail server to returned mail

as a secure compiled attachment (Zip).

Now a new message is available as secure Zip file format.

Due to new policies on clients.

This message is available as a secure Zip file format

due to a new security policy.

For security measures this message has been packed as Zip format.

This is a newly added security feature.

New policy recommends to enclose all messages as Zip format.

Your message is available in this server notice.

You have received a message that implements secure delivery technology.

Message available as a secure Zip file.

This message is an automatically server notice

from Administration at

Server Notice: New security feature added. MSG:ID: 455sec86

from

New feature added for security reasons

from

Automatically server notice:,

Server reply from

New service policy for security added from

Załącznik: [poniższa nazwa].[exe, txt.exe, htm.exe, txt.scr, zip]

mail

message

attachment

transcript

text

document

file

readme

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku winlibs.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Aktywny robak wyszukuje adresy emailowe na dysku z plików o rozszerzeniach: adb, asp, cfg, dbx, dhtm, eml, htm, html, jse, jsp, mmf, msg, ods, php, sht, shtm, shtml, tbb, txt, wab, xml oraz poprzez Internet z serwisu email.people.yahoo.com.

Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej na wszystkie uzyskane adresy email.

Trojan.Downloader.Small - pobiera swoje części z Internetu

• 5/8/2004

Trojan.Downloader.Small jest koniem trojańskim, którego działanie polega na pobieraniu z Internetu i instalowaniu w systemie programów typu spyware.

Aktywny trojan tworzy swoje kopie w pliku services.exe oraz modyfikuje tak plik system.ini oraz klucze rejestru by był automatycznie uruchamiany przy każdym starcie systemu Windows oraz przy korzystaniu z przeglądarki Internet Explorer.

Trojan pobiera z Internetu i instaluje w systemie oprogramowanie szpiegowskie. Instalowane pliki mają następujące nazwy: A.EXE, istsvc.exe, optimize.exe, msbb.exe, xvpahcdx.exe, POWERSCAN.EXE, sdonwz.exe, BRIDGE.DLL, bridge.cab, 1.00.03.dll, NEM219.DLL, TWAINTEC.DLL, SFBHO.DLL, 0006_regular.cab.

Bardor.A - koń trojański na PocketPC

• 6/8/2004

Bardor.A jest koniem trojańskim działającym w systemie Windows CE na urządzeniach typu PowerPC. Jego działanie polega na umożliwieniu zdalnego przejęcia kontroli nad urządzeniem.

Trojan nie ma możliwości rozprzestrzeniania się pomiędzy urządzeniami PowerPC, a jedynie może być przesłany jako załącznik do poczty elektronicznej. Jego działanie ograniczone jest również do urządzeń działających na bazie procesora ARM.

Aktywny trojan pozwala na przejęcie zdalnie kontroli nad zainfekowanym urządzeniem, jednak do tego wymagana jest aplikacja kliencka, której sprzedaż oferuje autor trojana w liście rozsyłanym wraz z kopiami trojana.

Saliy.G - wirus plikowy

6/8/2004

Saliy.G jest wirusem plikowym infekującym pliki wykonywalne w systemach Windows.

Aktywny wirus infekuje wszystkie pliki wykonywalne z rozszerzeniami exe odnalezione na dysku oraz tworzy na dysku następujące pliki win[4 losowe znaki].[losowe rozszerzenie], syslib32.dll, syslib32.tmp.

Wirus dodatkowo zbiera informacje na temat infekowanego systemu takie jak np.: wersja systemu, rodzaje dysków,

najczęściej odwiedzane strony, możliwości zdalnego zalogowania się, sposób łączenia się z internetem, a następnie wysyła je na adres email w domenie .ru.

10, 11, 12 dnia każdego miesiąca wirus wyświetla poniższy komunikat:

>>>>

Copyright © by Sector

Zainfekowane pliki mają wielkość większą o 27 - 29 KB

Amus.A - prosty robak pocztowy

• 9/8/2004

Amus.A jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: Listen and Smile

Treść: Hey. I beg your pardon. You must listen.

Załącznik: Masum.exe

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku KdzEregli.exe oraz modyfikuje tak rejestr, by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows. Robak tworzy również swoje dodatkowe kopie w plikach o następujących nazwach: pire.exe, pide.exe, my_pictures.exe, meydanbasi.exe, messenger.exe, cekirge.exe, anti_virus.exe, ankara.exe, adapazari.exe, masum.exe.

Na koniec robak rozsyła swoje kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w książce adresowej systemu Windows.

Beagle.AO - robak internetowy

• 10/8/2004

Beagle.AO jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [fałszywy adres]

Temat: [pusty]

Treść: [jedna z poniższych]

foto3 and MP3

fotogalary and Music

fotoinfo

Lovely animals

Animals

Predators

The snake

Screen and Music

Załącznik: [jeden z poniższych]

08_price.zip

new__price.zip

new_price.zip

newprice.zip

price.zip

price2.zip

price_08.zip

price_new.zip

W adres nadawcy robak wstawia losowy adres email odnaleziony na zarażonym komputerze, zatem osoba pojawiająca się jako nadawca listu z robakiem nie jest jego prawdziwym nadawcą.

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w plikach WINdirect.exe, dll.exe, windll.exe, windll.exeopen, windll.exeopenopen, re_file.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak kasuje wpisy:

9XHtProtect

Antivirus

EasyAV

FirewallSvr

HtProtect

ICQ Net

ICQNet

Jammer2nd

KasperskyAVEng

MsInfo

My AV

NetDy

Norton Antivirus AV

PandaAVEngine

SkynetsRevenge

Special Firewall Service

SysMonXP

Tiny AV

Zone Labs Client Ex

service

z rejestrów systemu z kluczy:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dodatkowo robak pozwala na przejęcie kontroli nad zainfekowanym komputerem poprzez sieć nasłuchując na komendy na porcie 80.

Robak rozsyła własne kopie za pomocą poczty elektronicznej, wykorzystując do tego własny silnik SMTP, na adresy odnalezione na zainfekowanym komputerze, w plikach o rozszerzeniach adb, asp, cfg, cgi, dbx, dhtm, eml, htm, jsp, mbx, mdx, mht, mmf, msg, nch, ods, oft, php, pl, sht, shtm, stm, tbb, txt, uin, wab, wsh, xls, xml.

Robak wyłącza rezydentne monitory niektórych programów antywirusowych i firewalli (monitor antywirusowy programu mks_vir nie zostaje wyłączony), których procesy mają następującą nazwę:

atupdater.exe

atupdater.exe

aupdate.exe

autodown.exe

autotrace.exe

autoupdate.exe

avpupd.exe

avwupd32.exe

avxquar.exe

avxquar.exe

cfiaudit.exe

drwebupw.exe

escanh95.exe

escanhnt.exe

firewall.exe

icssuppnt.exe

icsupp95.exe

luall.exe

mcupdate.exe

nupgrade.exe

nupgrade.exe

outpost.exe

update.exe

sys_xp.exe

sysxp.exe

winxp.exe

Na koniec robak tworzy swoje kopie w katalogach zawierających w nazwie ciąg shar, starając się w ten sposób stworzyć swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie. Kopie te mają następujące nazwy:

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

Usuwanie robaka

Aby usunąć robaka należy pobrać i uruchomić bezpłatny program MksClean.exe

Jeżeli zaraz po uruchomieniu program MksClean.exe wyłącza się należy zmienić mu nazwę na dowolną i ponownie uruchomić.

–>

Mydoom.P - kolejna odmiana znanego robaka

• 11/8/2004

Mydoom.P jest szyfrowanym robakiem rozsyłającym się za pomocą poczty elektronicznej.

W momencie uruchomienia pliku robaka wykonuje on następujące czynności:

tworzy swoje kopie w katalogu systemowym Windows (domyślnie c:\windows\system, c:\winnt\system32 lub c:\windows\system32 zależnie od wersji systemu) w pliku Taskmon.exe i

dodaje swoje wywołanie do klucza rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

by mógł uruchamiać się przy każdym starcie systemu

przeszukuje dyski twarde komputera w poszukiwaniu plików o rozszerzeniach pl, abdh, tbbg, dbxn, aspd, phpq, shtl, htmb, txt, wab w poszukiwaniu adresów email na które następnie będzie się rozsyłał

rozpoczyna masową wysyłkę na wcześniej znalezione adresy email w następującej postaci:

Temat: [jeden z poniższych]

test

hi

hello

Mail Delieery System

Mail transaction Failed

Server Report

Status

Error

Załącznik: [poniższa nazwa].[bat, cmd, exe, pif, scr, zip]

document

readme

doc

body

text

file

data

test

messge

body

Usuwanie robaka

Aby usunąć robaka należy pobrać i uruchomić bezpłatny program MksClean.exe

Boxed.E - koń trojański

• 12/8/2004

Boxed.E jest koniem trojańskim, którego działanie polega na przeprowadzaniu ataku typu Denial of Service (DoS) w stosunku do wybranych stron internetowych oraz blokowanie dostępu do stron zawierających uaktualnienie programów antywirusowych.

Aktywny trojan tworzy na dysku swoją kopię w pliku winlogon.exe oraz modyfikuje tak rejestr by jego kopia, zarejestrowana jako usługa systemowa, była automatycznie uruchamiana przy każdym starcie systemu Windows.

Trojan przeprowadza atak typu Denial of Service (DoS) w stosunku do następujących stron www:

logout.xpseek.com

secmemb.xpseek.com

mb.maybugs.com

members.maybugs.com

login.maybugs.com

secure.maybugs.com

mb.hvr-systems.cc

members.hvr-systems.cc

login.hvr-systems.cc

secure.hvr-systems.cc

mb.xpseek.com

members.xpseek.com

login.xpseek.com

secure.xpseek.com

mb.maybirds.org

members.maybirds.org

login.maybirds.org

secure.maybirds.org

Dodatkowo trojan modyfikuje tak plik hosts aby niemożliwe było połączenie ze stronami zawierającymi uaktualnienia do niktórych programów antywirusowych (strona z uaktualnieniami dla programu mks_vir nie jest blokowana). Dostęp jest blokowany do następujących stron:

localhost

ids.kaspersky-labs.com

downloads2.kaspersky-labs.com

downloads1.kaspersky-labs.com

downloads3.kaspersky-labs.com

downloads4.kaspersky-labs.com

liveupdate.symantecliveupdate.com

liveupdate.symantec.com

update.symantec.com

download.mcafee.com

http://www.symantec.com

securityresponse.symantec.com

symantec.com

http://www.sophos.com

sophos.com

http://www.mcafee.com

mcafee.com

liveupdate.symantecliveupdate.com

http://www.viruslist.com

f-secure.com

http://www.f-secure.com

kaspersky.com

kaspersky-labs.com

http://www.avp.com

http://www.kaspersky.com

http://www.networkassociates.com

networkassociates.com

http://www.ca.com

mast.mcafee.com

my-etrust.com

http://www.my-etrust.com

download.mcafee.com

dispatch.mcafee.com

secure.nai.com

nai.com

http://www.nai.com

update.symantec.com

updates.symantec.com

us.mcafee.com

liveupdate.symantec.com

customer.symantec.com

rads.mcafee.com

http://www.trendmicro.com

http://www.grisoft.com

Beasty.I - koń trojański

• 13/8/2004

Beasty.I jest koniem trojańskim, którego działanie polega na umożliwieniu przejęcia kontroli nad zainfekowanym komputerem przez sieć.

Aktywny trojan tworzy na dysku swoją kopię w pliku msdrce.com oraz tak modyfikuje rejestr by była ona automatycznie uruchamiana przy każdym starcie systemu Windows. Tworzy również dodatkowe kopie w plikach o następujących nazwach: mspuep.com, mslg.blf.

Trojan nasłuchuje na porcie 9999 w oczekiwaniu na komendy. Za jego pośrednictwem można na zainfekowanym komputerze wykonywać następujące działania:

pobierać, kopiować i usuwać pliki

zmieniać atrybuty plików

uruchamiać programy

modyfikować rejestr

zabijać procesy

przechwytywać obraz z ekranu

wykonywać operacje utrudniające pracę użytkownikowi - np. wysuwać tackę napędu CD

Mydoom.S - robak pocztowy

• 16/8/2004

Mydoom.S jest szyfrowanym robakiem rozsyłającym się za pomocą poczty elektronicznej.

W momencie uruchomienia pliku robaka wykonuje on następujące czynności:

tworzy swoją kopię w katalogu systemowym Windows (domyślnie c:\windows\system, c:\winnt\system32 lub c:\windows\system32 zależnie od wersji systemu) w pliku winpsd.exe

dodaje swoje wywołanie do klucza rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

by mógł uruchamiać się przy każdym starcie systemu

przeszukuje dyski twarde komputera w poszukiwaniu plików o rozszerzeniach: txt, htm, sht, php, asp, dbx, tbb, adb, pl, wab w poszukiwaniu adresów email na które następnie będzie się rozsyłał

rozpoczyna masową wysyłkę na wcześniej znalezione adresy email w następującej postaci:

Od: [fałszywy adres]

Temat: photos

Treść: LOL!;))))

Załącznik: photos_arc.exe

Robak modyfikuje również plik hosts tak, niemożliwe było połączenie z serwerami uaktualnień programów antywirusowych (serwery uaktualnień programu mks_vir nie są blokowane.

Usuwanie robaka

Aby usunąć robaka należy pobrać i uruchomić bezpłatny program MksClean.exe–>

Neveg.C - robak internetowy

• 17/8/2004

Neveg.C jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie, a także wykonywanie ataku typu Denial of Service, w stosunku do określonych stron www.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o jednej z następujących nazw: office.exe, notes.exe, doom3demo.exe, resume.exe, files.exe, request.exe, info.exe, details.exe, result.exe, results.exe, install.exe, setup.exe, test.exe, google.exe, se_files.exe.

Po uruchomieniu przez użytkownika pliku robaka tworzy on na dysku swoją kopię w pliku services.exe oraz tak modyfikuje rejestr by była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak wyszukuje adresy poczty elektronicznej w plikach z poniższymi rozszerzeniami: hlp, xml, xls, wsh, wab, vbs, uin, txt, tbb, stm, shtm, sht, rtf, pl, php, oft, ods, nch, msg, mmf, mht, mdx, mbx, jsp, html, htm, eml, dhtm, dbx, cgi, cfg, asp, adb i wysyłana na nie listy zawierające jego kopie.

Dodatkowo robak tworzy swoje kopie w katalogach współdzielonych popularnych programów do wymiany plików w Internecie. Pliki z kopiami robaka mogą mieć następujące nazwy:

XXX hardcore images.exe

Windows Sourcecode update.doc.exe

Windown Longhorn Beta Leak.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Serials.txt.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Porno pics arhive, xxx.exe

Opera 8 New!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Microsoft Office 2003 Crack, Working!.exe

Matrix 3 Revolution English Subtitles.exe

KAV 5.0.exe

Kaspersky Antivirus 5.0.exe

Ahead Nero 7.exe

Adobe Photoshop 9 full.exe

ACDSee 9.exe

Na koniec robak przeprowadza atak typu Denial of Service w stosunku do stron o następujących adresach:

http://www.hvr-systems.cc

http://www.real-creative.de

http://www.2rebrand.com

http://www.designload.com

http://www.designgalaxy.net

http://www.procartoonz.com

http://www.designload.net

Beagle.AM - robak internetowy

• 18/8/2004

Beagle.AM jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [fałszywy adres]

Temat: [jeden z poniższych]

Re: Msg reply

Re: Hello

Re: Yahoo!

Re: Thank you!

Re: Thanks

RE: Text message

Re: Document

Incoming message

Re: Incoming Message

RE: Incoming Msg

RE: Message Notify

Notification

Changes…

New changes

Hidden message

Fax Message Received

Protected message

RE: Protected message

Forum notify

Site changes

Re: Hi

Encrypted document

Treść: [jedna z poniższych]

For security reasons attached file is password protected.

The password is

For security purposes the attached file is password protected.

Password –

Note: Use password to open archive.

Attached file is protected with the password for security reasons.

Password is

In order to read the attach you have to use

the following password:

Archive password:

Password

Password:

Załącznik: [jeden z poniższych].[exe, scr, com, zip, vbs, hta, cpl]

Information

Details

text_document

Readme

Document

Info

the_message

Details

MoreInfo

Message

You_will_answer_to_me

Half_Live

Counter_strike

Loves_money

the_message

Alive_condom

Joke

Toy

Nervous_illnesses

Manufacture

You_are_dismissed

W adres nadawcy robak wstawia losowy adres email odnaleziony na zarażonym komputerze, zatem osoba pojawiająca się jako nadawca listu z robakiem nie jest jego prawdziwym nadawcą.

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w plikach drvddll.exe, drvddll.exeopen, drvddll.exeopenopen, drvddll.exeopenopenopen oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak kasuje wpisy:

9XHtProtect

Antivirus

EasyAV

FirewallSvr

HtProtect

ICQ Net

ICQNet

Jammer2nd

KasperskyAVEng

MsInfo

My AV

NetDy

Norton Antivirus AV

PandaAVEngine

SkynetsRevenge

Special Firewall Service

SysMonXP

Tiny AV

Zone Labs Client Ex

service

z rejestrów systemu z kluczy:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dodatkowo robak pozwala na przejęcie kontroli nad zainfekowanym komputerem poprzez sieć.

Robak rozsyła własne kopie za pomocą poczty elektronicznej, wykorzystując do tego własny silnik SMTP, na adresy odnalezione na zainfekowanym komputerze, w plikach o rozszerzeniach wab, txt, msg, htm, shtm, stm, xml, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi, mht, dhtm, jsp.

Robak wyłącza rezydentne monitory niektórych programów antywirusowych i firewalli (monitor antywirusowy programu mks_vir nie zostaje wyłączony), których procesy mają następującą nazwę:

agentsvr.exe

anti-trojan.exe

anti-trojan.exe

antivirus.exe

ants.exe

apimonitor.exe

aplica32.exe

apvxdwin.exe

atcon.exe

atguard.exe

atro55en.exe

atupdater.exe

atwatch.exe

aupdate.exe

autodown.exe

autotrace.exe

autoupdate.exe

avconsol.exe

avgserv9.exe

avltmain.exe

avprotect9x.exe

avpupd.exe

avsynmgr.exe

avwupd32.exe

avxquar.exe

bd_professional.exe

bidef.exe

bidserver.exe

bipcp.exe

bipcpevalsetup.exe

bisp.exe

blackd.exe

blackice.exe

bootwarn.exe

borg2.exe

bs120.exe

cdp.exe

cfgwiz.exe

cfgwiz.exe

cfiadmin.exe

cfiadmin.exe

cfiaudit.exe

cfiaudit.exe

cfiaudit.exe

cfinet.exe

cfinet.exe

cfinet32.exe

cfinet32.exe

clean.exe

clean.exe

cleaner.exe

cleaner.exe

cleaner3.exe

cleanpc.exe

cleanpc.exe

cmgrdian.exe

cmgrdian.exe

cmon016.exe

cmon016.exe

cpd.exe

cpf9x206.exe

cpfnt206.exe

cv.exe

cwnb181.exe

cwntdwmo.exe

defwatch.exe

deputy.exe

dpf.exe

dpfsetup.exe

drvsys.exe

drwatson.exe

drwebupw.exe

ent.exe

escanh95.exe

escanhnt.exe

escanv95.exe

exantivirus-cnet.exe

fast.exe

firewall.exe

flowprotector.exe

fp-win_trial.exe

frw.exe

fsav.exe

fsav530stbyb.exe

fsav530wtbyb.exe

fsav95.exe

gbmenu.exe

gbpoll.exe

guard.exe

guarddog.exe

hacktracersetup.exe

htlog.exe

hwpe.exe

iamapp.exe

iamapp.exe

iamserv.exe

icload95.exe

icloadnt.exe

icmon.exe

icssuppnt.exe

icsupp95.exe

icsupp95.exe

icsuppnt.exe

ifw2000.exe

iparmor.exe

iris.exe

jammer.exe

kavlite40eng.exe

kavpers40eng.exe

kerio-pf-213-en-win.exe

kerio-wrl-421-en-win.exe

kerio-wrp-421-en-win.exe

killprocesssetup161.exe

ldpro.exe

localnet.exe

lockdown.exe

lockdown2000.exe

lsetup.exe

luall.exe

lucomserver.exe

luinit.exe

mcagent.exe

mcupdate.exe

mcupdate.exe

mfw2en.exe

mfweng3.02d30.exe

mgui.exe

minilog.exe

moolive.exe

mrflux.exe

msconfig.exe

msinfo32.exe

mssmmc32.exe

mu0311ad.exe

nav80try.exe

navapw32.exe

navdx.exe

navstub.exe

navw32.exe

nc2000.exe

ncinst4.exe

ndd32.exe

neomonitor.exe

netarmor.exe

netinfo.exe

netmon.exe

netscanpro.exe

netspyhunter-1.2.exe

netstat.exe

nisserv.exe

nisum.exe

nmain.exe

norton_internet_secu_3.0_407.exe

npf40_tw_98_nt_me_2k.exe

npfmessenger.exe

nprotect.exe

nsched32.exe

ntvdm.exe

nupgrade.exe

nvarch16.exe

nwinst4.exe

nwtool16.exe

ostronet.exe

outpost.exe

outpostinstall.exe

outpostproinstall.exe

padmin.exe

panixk.exe

pavproxy.exe

pcc2002s902.exe

pcc2k_76_1436.exe

pcciomon.exe

pcdsetup.exe

pcfwallicon.exe

pcfwallicon.exe

pcip10117_0.exe

pdsetup.exe

periscope.exe

persfw.exe

pf2.exe

pfwadmin.exe

pingscan.exe

platin.exe

poproxy.exe

popscan.exe

portdetective.exe

ppinupdt.exe

pptbc.exe

ppvstop.exe

procexplorerv1.0.exe

proport.exe

protectx.exe

pspf.exe

purge.exe

pview95.exe

qconsole.exe

qserver.exe

rav8win32eng.exe

regedit.exe

regedt32.exe

rescue.exe

rescue32.exe

rrguard.exe

rshell.exe

rtvscn95.exe

rulaunch.exe

safeweb.exe

sbserv.exe

sd.exe

setup_flowprotector_us.exe

setupvameeval.exe

sfc.exe

sgssfw32.exe

sh.exe

shellspyinstall.exe

shn.exe

smc.exe

sofi.exe

spf.exe

sphinx.exe

spyxx.exe

ss3edit.exe

st2.exe

supftrl.exe

supporter5.exe

symproxysvc.exe

sysedit.exe

taskmon.exe

taumon.exe

tauscan.exe

tc.exe

tca.exe

tcm.exe

tds2-98.exe

tds2-nt.exe

tds-3.exe

tfak5.exe

tgbob.exe

titanin.exe

titaninxp.exe

tracert.exe

trjscan.exe

trjsetup.exe

trojantrap3.exe

undoboot.exe

update.exe

vbcmserv.exe

vbcons.exe

vbust.exe

vbwin9x.exe

vbwinntw.exe

vcsetup.exe

vfsetup.exe

virusmdpersonalfirewall.exe

vnlan300.exe

vnpc3000.exe

vpc42.exe

vpfw30s.exe

vptray.exe

vscenu6.02d30.exe

vsecomr.exe

vshwin32.exe

vsisetup.exe

vsmain.exe

vsmon.exe

vsstat.exe

vswin9xe.exe

vswinntse.exe

vswinperse.exe

w32dsm89.exe

w9x.exe

watchdog.exe

webscanx.exe

wgfe95.exe

whoswatchingme.exe

whoswatchingme.exe

winrecon.exe

wnt.exe

wradmin.exe

wrctrl.exe

wsbgate.exe

wyvernworksfirewall.exe

xpf202en.exe

zapro.exe

zapsetup3001.exe

zatutor.exe

zauinst.exe

zonalm2601.exe

zonealarm.exe

Na koniec robak tworzy swoje kopie w katalogach zawierających w nazwie ciąg shar, starając się w ten sposób stworzyć swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie. Kopie te mają następujące nazwy:

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

Usuwanie robaka

Aby usunąć robaka należy pobrać i uruchomić bezpłatny program MksClean.exe

Jeżeli zaraz po uruchomieniu program MksClean.exe wyłącza się należy zmienić mu nazwę na dowolną i ponownie uruchomić.

Neveg.B - robak internetowy

• 19/8/2004

Neveg.B jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie, a także wykonywanie ataku typu Denial of Service, w stosunku do określonych stron www.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o jednej z następujących nazw: office.exe, notes.exe, doom3demo.exe, resume.exe, files.exe, request.exe, info.exe, details.exe, result.exe, results.exe, install.exe, setup.exe, test.exe, google.exe, se_files.exe.

Po uruchomieniu przez użytkownika pliku robaka tworzy on na dysku swoją kopię w pliku services.exe oraz tak modyfikuje rejestr by była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak wyszukuje adresy poczty elektronicznej w plikach z poniższymi rozszerzeniami: hlp, xml, xls, wsh, wab, vbs, uin, txt, tbb, stm, shtm, sht, rtf, pl, php, oft, ods, nch, msg, mmf, mht, mdx, mbx, jsp, html, htm, eml, dhtm, dbx, cgi, cfg, asp, adb i wysyłana na nie listy zawierające jego kopie.

Dodatkowo robak tworzy swoje kopie w katalogach współdzielonych popularnych programów do wymiany plików w Internecie. Pliki z kopiami robaka mogą mieć następujące nazwy:

XXX hardcore images.exe

Windows Sourcecode update.doc.exe

Windown Longhorn Beta Leak.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Serials.txt.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Porno pics arhive, xxx.exe

Opera 8 New!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Microsoft Office 2003 Crack, Working!.exe

Matrix 3 Revolution English Subtitles.exe

KAV 5.0.exe

Kaspersky Antivirus 5.0.exe

Ahead Nero 7.exe

Adobe Photoshop 9 full.exe

ACDSee 9.exe

Na koniec robak przeprowadza atak typu Denial of Service w stosunku do stron o następujących adresach:

http://www.hvr-systems.cc

http://www.real-creative.de

http://www.2rebrand.com

http://www.designload.com

http://www.designgalaxy.net

http://www.procartoonz.com

http://www.designload.net

To jest topic o szczepionkach - nie artylerii - OT ----------> Kosz

Trivial - wirus DOSowy

• 20/8/2004

Trivial należy do archaicznej obecnie grupy wirusów infekujących DOSowe pliki wykonywalne.

Aktywny wirus wyszukuje na dysku wszystkie pliki z rozszerzeniem com i exe, znajdujące się w tym samym katalogu, z którego został uruchomiony wirus.

Infekcja polega na nadpisaniu pierwszych 818 bajtów infekowanego pliku kodem wirusa, czego efektem jest uszkodzenie zainfekowanych programów.

Ainesey.C - wirus makr Excela

• 23/8/2004

Ainesey.C jest wirusem makr Excela 97, którego działanie polega na infekowaniu kolejnych zeszytów Excela.

Aktywny wirus tworzy na dysku plik msiexec32.exe oraz obniża poziom zabezpieczeń programu Microsoft Excel, czego efektem jest brak kontroli nad wykonywaniem makropoleceń.

Wirus infekuje plik Personal.xls czego efektem jest infekowanie wszystkich edytowanych od tego czasu arkuszy Excela.