Info o wirusach i szczepionkach na nie!

pysiu · 24 Sierpień 2004 20:26

Rbot - koń trojański korzystający z kamery

• 24/8/2004

Rbot jest prostym koniem trojańskim, którego działanie polega na przejmowaniu kontroli na komuterem ofiary. Jako ciekawostkę, można uznać możliwość przechwytywania obrazu z podłączonej do komputera kamery.

Trojan rozprzestrzenia się za pośrednictwem znanych błędów w zabezpieczeniach systemu Windows dotyczących udostępnionych zasobów sieciowych. Pozwala on na przejęcie kontroli nad zainfekowanym komputerem.

Ciekawostką jest możliwość korzystania z podłączonej do zainfekowanego komputera kamery internetowej oraz mikrofonu, a więc przechwytywanie dźwięku i obrazu. Poza tym Rbot jest typowym prostym koniem trojańskim

pysiu · 26 Sierpień 2004 09:27

Mitglieder.N - koń trojański

• 25/8/2004

Mitglieder.N jest koniem trojańskim którego działanie polega na uruchamianiu na zainfekowanym komputerze serwera pocztowego pozwalającego na przysyłanie za jego pośrednictwem spamu.

Aktywny trojan tworzy na dysku swoje kopie w plikach fi?.exe, nopat.exe, sysdoor.exe oraz modyfikuje tak rejestr by jego kopia w pliku sysdoor.exe była automatycznie uruchamiana przy każdym starcie systemu Windows.

Trojan nasłuchuje na porcie 28882 w oczekiwaniu na połączenia zawierające spam do daleszej wysyłki.

Dodatkowo trojan wyłącza również rezydentne monitory programów antywirusowych i firewalli (monitor programu mks_vir nie zostaje wyłączony), których procesy mają następujące nazwy:

agentsvr.exe

anti-trojan.exe

antivirus.exe

ants.exe

apimonitor.exe

aplica32.exe

apvxdwin.exe

atcon.exe

atguard.exe

atro55en.exe

atupdater.exe

atwatch.exe

aupdate.exe

autodown.exe

autotrace.exe

autoupdate.exe

avconsol.exe

avgserv9.exe

avltmain.exe

avprotect9x.exe

avpupd.exe

avsynmgr.exe

avwupd32.exe

avxquar.exe

bd_professional.exe

bidef.exe

bidserver.exe

bipcp.exe

bipcpevalsetup.exe

bisp.exe

blackd.exe

blackice.exe

bootwarn.exe

borg2.exe

bs120.exe

cdp.exe

cfgwiz.exe

cfiadmin.exe

cfiaudit.exe

cfinet.exe

cfinet32.exe

clean.exe

cleaner.exe

cleaner3.exe

cleanpc.exe

cmgrdian.exe

cmon016.exe

cpd.exe

cpf9x206.exe

cpfnt206.exe

cv.exe

cwnb181.exe

cwntdwmo.exe

defwatch.exe

deputy.exe

dpf.exe

dpfsetup.exe

drvddll.exe

drvsys.exe

drwatson.exe

drwebupw.exe

ent.exe

escanh95.exe

escanhnt.exe

escanv95.exe

exantivirus-cnet.exe

fast.exe

firewall.exe

flowprotector.exe

fp-win_trial.exe

frw.exe

fsav.exe

fsav530stbyb.exe

fsav530wtbyb.exe

fsav95.exe

gbmenu.exe

gbpoll.exe

guard.exe

guarddog.exe

hacktracersetup.exe

htlog.exe

hwpe.exe

iamapp.exe

iamserv.exe

icload95.exe

icloadnt.exe

icmon.exe

icssuppnt.exe

icsupp95.exe

icsuppnt.exe

ifw2000.exe

iparmor.exe

iris.exe

jammer.exe

kavlite40eng.exe

kavpers40eng.exe

kerio-pf-213-en-win.exe

kerio-wrl-421-en-win.exe

kerio-wrp-421-en-win.exe

killprocesssetup161.exe

ldpro.exe

localnet.exe

lockdown.exe

lockdown2000.exe

lsetup.exe

luall.exe

lucomserver.exe

luinit.exe

mcagent.exe

mcupdate.exe

mfw2en.exe

mfweng3.02d30.exe

mgui.exe

minilog.exe

moolive.exe

mrflux.exe

msconfig.exe

msinfo32.exe

mssmmc32.exe

mu0311ad.exe

nav80try.exe

navapw32.exe

navdx.exe

navstub.exe

navw32.exe

nc2000.exe

ncinst4.exe

ndd32.exe

neomonitor.exe

netarmor.exe

netinfo.exe

netmon.exe

netscanpro.exe

netspyhunter-1.2.exe

netstat.exe

nisserv.exe

nisum.exe

nmain.exe

norton_internet_secu_3.0_407.exe

npf40_tw_98_nt_me_2k.exe

npfmessenger.exe

nprotect.exe

nsched32.exe

ntvdm.exe

nupgrade.exe

nvarch16.exe

nwinst4.exe

nwtool16.exe

ostronet.exe

outpost.exe

outpostinstall.exe

outpostproinstall.exe

padmin.exe

panixk.exe

pavproxy.exe

pcc2002s902.exe

pcc2k_76_1436.exe

pcciomon.exe

pcdsetup.exe

pcfwallicon.exe

pcip10117_0.exe

pdsetup.exe

periscope.exe

persfw.exe

pf2.exe

pfwadmin.exe

pingscan.exe

platin.exe

poproxy.exe

popscan.exe

portdetective.exe

ppinupdt.exe

pptbc.exe

ppvstop.exe

procexplorerv1.0.exe

proport.exe

protectx.exe

pspf.exe

purge.exe

pview95.exe

qconsole.exe

qserver.exe

rav8win32eng.exe

regedit.exe

regedt32.exe

rescue.exe

rescue32.exe

rrguard.exe

rshell.exe

rtvscn95.exe

rulaunch.exe

safeweb.exe

sbserv.exe

sd.exe

setup_flowprotector_us.exe

setupvameeval.exe

sfc.exe

sgssfw32.exe

sh.exe

shellspyinstall.exe

shn.exe

smc.exe

sofi.exe

spf.exe

sphinx.exe

spyxx.exe

ss3edit.exe

st2.exe

supftrl.exe

supporter5.exe

symproxysvc.exe

sysedit.exe

taskmon.exe

taumon.exe

tauscan.exe

tc.exe

tca.exe

tcm.exe

tds2-98.exe

tds2-nt.exe

tds-3.exe

tfak5.exe

tgbob.exe

titanin.exe

titaninxp.exe

tracert.exe

trjscan.exe

trjsetup.exe

trojantrap3.exe

undoboot.exe

update.exe

vbcmserv.exe

vbcons.exe

vbust.exe

vbwin9x.exe

vbwinntw.exe

vcsetup.exe

vfsetup.exe

virusmdpersonalfirewall.exe

vnlan300.exe

vnpc3000.exe

vpc42.exe

vpfw30s.exe

vptray.exe

vscenu6.02d30.exe

vsecomr.exe

vshwin32.exe

vsisetup.exe

vsmain.exe

vsmon.exe

vsstat.exe

vswin9xe.exe

vswinntse.exe

vswinperse.exe

w32dsm89.exe

w9x.exe

watchdog.exe

webscanx.exe

wgfe95.exe

whoswatchingme.exe

winrecon.exe

wnt.exe

wradmin.exe

wrctrl.exe

wsbgate.exe

wyvernworksfirewall.exe

xpf202en.exe

zapro.exe

zapsetup3001.exe

zatutor.exe

zauinst.exe

zonalm2601.exe

zonealarm.exe

pysiu · 26 Sierpień 2004 19:47

Tiniresu - wirus i trojan w jednym

• 26/8/2004

Tiniresu jest wirusem oraz koniem trojańskim jednocześnie umożliwiającym przejęcie kontroli nad komputerem ofiary.

Aktywny wirus infekuje plik systemowy userinit.exe czego efektem jest jego uruchamianie przy każdym starci systemu Windows.

Następnie rozpoczyna nasłuchiwanie w oczekiwaniu na komendy pozwalające na przejęcie kontroli nad zainfekowanym komputerem poprzez sieć.

Dodatkowo trojan pobiera z Internetu pliki, które instaluje w systemie.

pysiu · 26 Sierpień 2004 19:49

Voodoo.C - wirus VBSowy

• 26/8/2004

Voodoo.C jest wirusem napisanym w języku Visual Basic Script, którego działanie polega na infekowaniu określonych plików.

Wirus infekuje pliki z rozszerzeniami asp, htm, hta, htx, html, htt dołączając do nich swój kod.

Dodatkowo wirus zmienia nazwę zarejestrowanego użytkownika systemu Windows na BLASTER oraz dodaje do Ulubionych w przeglądarce Internet Explorer link http:/ /www.coderz.net.

pysiu · 27 Sierpień 2004 19:30

Lovgate.AO - robak internetowy

• 27/8/2004

Lovgate.AO jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz poprzez udostępnione zasoby w sieciach opartych na systemach Windows.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Treść: [jedna z poniższych]

Delivery to the following recipient has failed:

It’'s the long-awaited film version of the Broadway hit.

The message sent as a binary attachment.

Mail failed. For further assistance, Please contact!

THIS IS A WARNING MESSAGE ONLY.

The message contains Uniocode characters and has been

sent as a binary attachment.

This is an automatically generated Delivery Status Notification

YOU DO NOT NEED TO RESEND YOUR MESSAGE.

Załącznik: [poniższa nazwa].[bat, cmd, com, exe, pif, scr, zip]

Body

Doc

Document

File

Message

Readme

Test

Text

data

Aktywny robak tworzy na zainfekowanym komputerze udostępnione zasób o nazwie JAVA oraz udostępnia wszystkie dyski od F do Z. W udostępnionych zasobach tworzy swoje kopie w plikach o następujących nazwach:

Daemon Tools v3.41.exe

EnterNet 500 V1.5 RC1.exe

Flash2X Flash Hunter v1.1.2.pif

FoxMail V5.0.500.0.exe

Microsoft Office.exe

Minilyrics_Std_2.7.233.pif

Serv-U FTP Server 4.1.exe

Support Tools.exe

WINISO 5.3.exe

WinGate V5.0.10 Build.exe

Winamp skin_FinalFantasy.exe

Windows 2000 sp4.ZIP.exe

Windows Media Player.zip.exe

autoexec.bat

eMule-0.42e-VeryCD0407Install.exe

i386.exe

Ponadto robak tworzy na dysku swoje kopie w następujących plikach:

Office.exe

Video.EXE

IEXPLORE.EXE

Kernel66.dll

TkBellExe.exe

Update_OB.exe

hxdef.exe

iexplorer.exe

real.exe

Lmmib20.dll

MSSIGN30.DLL

ODBC16.dll

msjdbc11.dll

oraz modyfikuje tak rejestr by pliki te były uruchamiane automatycznie przy każdym starcie systemu Windows i przy otwieraniu plików tekstowych.

Robak stara się zapisać swoje kopie na udostępnionych zasobach innych komputerów w sieci lokalnej, starając się odgadnąć hasło zabezpieczające dostęp do zasobu.

Na koniec rozsyła swoje kopie za pomocą poczty elektronicznej do wszystkich adresatów, których adresy poczty email odnajdzie na zainfekowanym komputerze.

pysiu · 30 Sierpień 2004 13:38

Scane - robak internetowy

• 30/8/2004

Scane jest robakiem internetowym, wykorzystującym do rozprzestrzeniania się błąd w systemie Windows opisany w biuletynie Microsoftu MS04-011.

Robak tworzy swoją kopię na dysku w pliku servicec.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak łączy się z komputerami, których adresy IP wybiera losowo. Jeżeli komputery te działają pod kontrolą jednego z następujących systemów: Windows NT/2000/XP/2003 Server oraz nie są zabezpieczone odpowiednią łatą robak, łącząc się przez port 445 ze zdalnym komputerem, uruchamia kod powodujący pobranie kopii robaka z atakującego komputera z uruchomionym serwerem FTP.

Działanie robaka może objawiać się dużym spowolnieniem działania systemu Windows

pysiu · 31 Sierpień 2004 11:57

Spybot - koń trojański

• 31/8/2004

Spybot jest koniem trojańskim, którego działanie polega na rozprzestrzenianiu się w sieciach lokalnych oraz na umożliwianiu przejęcia zdalnej kontroli nad komputerem ofiary.

Aktywny trojan tworzy na dysku swoją kopię w pliku mvsc.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Trojan łączy się z udostępnionymi zasobami komputerów w sieci lokalnej starając się odgadnąć hasło jakimi są zabezpieczone. Jeżeli mu się to uda, tworzy tam swoją kopię.

Ponadto trojan udostępnia możliwość przejęcia kontroli poprzez sieć nad zainfekowanym komputerem oczekując na komendy na określonym kanale IRCa. W ten sposób możliwe jest wykonywania następujących działań na zainfekowanym komputerze: pobieranie, instalowania i uruchamianie plików z sieci, zarządzanie procesami, wykradanie informacji o systemie, przechwytywanie pisania na klawiaturze, tworzenie, modyfikacja i usuwanie plików, zarządzenie koniem trojańskim.

Na koniec trojan stara się wykraść numery seryjne do kilku popularnych gier komputerowych, jeżeli są one zainstalowane na zainfekowanej maszynie.

pysiu · 1 Wrzesień 2004 10:55

Hiva - trojan uprzykrzający pracę

• 1/9/2004

Hiva jest koniem trojańskim, którego działanie polega na uprzykrzaniu życia użytkownikowi komputera.

Aktywny trojan tworzy na dysku swoje kopie w plikach: HIV.exe, HIVmod1.exe, HIVmod2.exe, HIVmod3.exe, HIVmod4.exe oraz modyfikuje tak rejestr by jego kopia w pliku HIV.exe była automatycznie uruchamiana przy każdym starcie systemu Windows.

Trojan wysyła za pomocą usługi Posłaniec w systemach Windows NT/2000/XP/2003 komunikat do innych komputerów o następującej treści: HIV+ infected a także wykonuje losowe ruchy wskaźnikiem myszy, zamyka okna programów, wysuwa tackę napędu CD.

Hiva nie posiada żadnego działania destrukcyjnego

pysiu · 6 Wrzesień 2004 12:39

Mydoom.S - robak internetowy

• 3/9/2004

Mydoom.S jest szyfrowanym robakiem rozsyłającym się za pomocą poczty elektronicznej.

W momencie uruchomienia pliku robaka wykonuje on następujące czynności:

tworzy swoją kopię w katalogu systemowym Windows (domyślnie c:\windows\system, c:\winnt\system32 lub c:\windows\system32 zależnie od wersji systemu) w pliku tasker.exe

dodaje swoje wywołanie do klucza rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

by mógł uruchamiać się przy każdym starcie systemu

przeszukuje dyski twarde komputera w poszukiwaniu plików o rozszerzeniach: adbh, aspd, dbxn, htmb, phpq, pl, shtl, tbbg, wab w poszukiwaniu adresów email na które następnie będzie się rozsyłał

rozpoczyna masową wysyłkę na wcześniej znalezione adresy email.

Robak rozsyła własne kopie za pomocą poczty elektronicznej w następującej formie:

Od: [fałszywy adres]

Temat: [jeden z poniższych]

document

Error

hello

hi

Information

Mail Delivery System

Mail Transaction Failed

message

RE:my …

RE:test

readme

Server Report

Status

test

Treść: [jedna z poniższych]

pysiu · 6 Wrzesień 2004 12:40

Bugbear.M - robak internetowy

• 6/9/2004

Bugbear.M jest kolejną odmianą znanego dawniej robaka, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz rozprzestrzenianie się w sieci lokalnej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego, o następujących parametrach:

Temat: [zaczynający się od Re:]

Załącznik: [jeden z poniższych]

a000032.jpg.scr

song.wav.scr

music.mp3.scr

video.avi.scr

photo.jpg.scr

pic.jpg.scr

message.txt.scr

image.jpg.scr

news.doc.scr

myphoto.jpg.scr

you.jpg.scr

love.jpg.scr

readme.txt.scr

Robak tworzy swoje kopie na dysku w plikach o losowych nazwach i rozszerzeniach exe, dll, nls, dat, tmp. Robak modyfikuje też rejestr tak by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak posiada także funkcje polimorficznego wirusa infekując pliki o następujących nazwach:

scandskw.exe

regedit.exe

mplayer.exe

hh.exe

notepad.exe

winhelp.exe

Internet Explorer\iexplore.exe

adobe\acrobat 7.0\reader\acrord32.exe

WinRAR\WinRAR.exe

Windows Media Player\mplayer2.exe

Real\RealPlayer\realplay.exe

Outlook Express\msimn.exe

Far\Far.exe

CuteFTP\cutftp32.exe

Adobe\Acrobat 6.0\Reader\AcroRd32.exe

Adobe\Acrobat 5.0\Reader\AcroRd32.exe

Adobe\Acrobat 4.0\Reader\AcroRd32.exe

ACDSee32\ACDSee32.exe

MSN Messenger\msnmsgr.exe

WS_FTP\WS_FTP95.exe

QuickTime\QuickTimePlayer.exe

StreamCast\Morpheus\Morpheus.exe

Zone Labs\ZoneAlarm\ZoneAlarm.exe

Trillian\Trillian.exe

Lavasoft\Ad-aware 6\Ad-aware.exe

AIM95\aim.exe

Winamp\winamp.exe

DAP\DAP.exe

ICQ\Icq.exe

kazaa\kazaa.exe

winzip\winzip32.exe

W kolejnym etapie swego działania robak rozsyła własne kopie do wszystkich adresatów, których adresy odnajdzie na dysku w plikach z rozszerzeniami: dbx, tbb, eml, mbx, nch, mmf, ods, htm, asp, txt, sht, używając do tego własnego silnika SMTP.

Dodatkowo robak posiada funkcjonalność wirusa plikowego, czego efektem jest infekowanie plików o następujących nazwach:

scandskw.exe

regedit.exe

mplayer.exe

hh.exe

notepad.exe

winhelp.exe

iexplore.exe

acrord32.exe

winrar.exe

mplayer2.exe

realplay.exe

msimn.exe

far.exe

cutftp32.exe

acdsee32.exe

msnmsgr.exe

ws_ftp95.exe

quicktimeplayer.exe

morpheus.exe

zonealarm.exe

trillian.exe

ad-aware.exe

aim.exe

winamp.exe

dap.exe

icq.exe

kazaa.exe

winzip32.exe

Robak rozprzestrzenia się również tworząc swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie takich jak: eDonkey, Morpheus, KaZaA, eMule, itp

pysiu · 8 Wrzesień 2004 12:25

Bugbear.M - robak internetowy

• 6/9/2004

Bugbear.M jest kolejną odmianą znanego dawniej robaka, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz rozprzestrzenianie się w sieci lokalnej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego, o następujących parametrach:

Temat: [zaczynający się od Re:]

Załącznik: [jeden z poniższych]

a000032.jpg.scr

song.wav.scr

music.mp3.scr

video.avi.scr

photo.jpg.scr

pic.jpg.scr

message.txt.scr

image.jpg.scr

news.doc.scr

myphoto.jpg.scr

you.jpg.scr

love.jpg.scr

readme.txt.scr

Robak tworzy swoje kopie na dysku w plikach o losowych nazwach i rozszerzeniach exe, dll, nls, dat, tmp. Robak modyfikuje też rejestr tak by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak posiada także funkcje polimorficznego wirusa infekując pliki o następujących nazwach:

scandskw.exe

regedit.exe

mplayer.exe

hh.exe

notepad.exe

winhelp.exe

Internet Explorer\iexplore.exe

adobe\acrobat 7.0\reader\acrord32.exe

WinRAR\WinRAR.exe

Windows Media Player\mplayer2.exe

Real\RealPlayer\realplay.exe

Outlook Express\msimn.exe

Far\Far.exe

CuteFTP\cutftp32.exe

Adobe\Acrobat 6.0\Reader\AcroRd32.exe

Adobe\Acrobat 5.0\Reader\AcroRd32.exe

Adobe\Acrobat 4.0\Reader\AcroRd32.exe

ACDSee32\ACDSee32.exe

MSN Messenger\msnmsgr.exe

WS_FTP\WS_FTP95.exe

QuickTime\QuickTimePlayer.exe

StreamCast\Morpheus\Morpheus.exe

Zone Labs\ZoneAlarm\ZoneAlarm.exe

Trillian\Trillian.exe

Lavasoft\Ad-aware 6\Ad-aware.exe

AIM95\aim.exe

Winamp\winamp.exe

DAP\DAP.exe

ICQ\Icq.exe

kazaa\kazaa.exe

winzip\winzip32.exe

W kolejnym etapie swego działania robak rozsyła własne kopie do wszystkich adresatów, których adresy odnajdzie na dysku w plikach z rozszerzeniami: dbx, tbb, eml, mbx, nch, mmf, ods, htm, asp, txt, sht, używając do tego własnego silnika SMTP.

Dodatkowo robak posiada funkcjonalność wirusa plikowego, czego efektem jest infekowanie plików o następujących nazwach:

scandskw.exe

regedit.exe

mplayer.exe

hh.exe

notepad.exe

winhelp.exe

iexplore.exe

acrord32.exe

winrar.exe

mplayer2.exe

realplay.exe

msimn.exe

far.exe

cutftp32.exe

acdsee32.exe

msnmsgr.exe

ws_ftp95.exe

quicktimeplayer.exe

morpheus.exe

zonealarm.exe

trillian.exe

ad-aware.exe

aim.exe

winamp.exe

dap.exe

icq.exe

kazaa.exe

winzip32.exe

Robak rozprzestrzenia się również tworząc swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie takich jak: eDonkey, Morpheus, KaZaA, eMule, itp.

pysiu · 11 Wrzesień 2004 14:22

Mydoom.U - kolejna wersja znanego robaka

• 10/9/2004

Mydoom.U jest szyfrowanym robakiem rozsyłającym się za pomocą poczty elektronicznej.

W momencie uruchomienia pliku robaka wykonuje on następujące czynności:

tworzy swoją kopię w katalogu systemowym Windows (domyślnie c:\windows lub c:\winnt zależnie od wersji systemu) w pliku taskmon.exe

dodaje swoje wywołanie do klucza rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

by mógł uruchamiać się przy każdym starcie systemu

przeszukuje dyski twarde komputera w poszukiwaniu plików o rozszerzeniach: adb*, asp*, dbb*, dbx*, htm*, php*, pl, sht*, txt, wab w poszukiwaniu adresów email na które następnie będzie się rozsyłał

rozpoczyna masową wysyłkę na wcześniej znalezione adresy email.

Robak rozsyła własne kopie za pomocą poczty elektronicznej w następującej formie:

Od: [fałszywy adres]

Temat: [jeden z poniższych]

test

hi

hello

Mail Delieery System

Mail transaction Failed

Server Report

Status

Error

Treść: [jedna z poniższych]

test

Mail transaction failed. Partial message is

available.

The message contains Unicode characters and has

been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII

encoding and has been sent as a binary

attachment. Can you confirm it?

Załącznik: [nazwa].[bat, cmd, exe, pif, scr, zip]

document

readme

doc

body

text

file

data

test

messge

body

pysiu · 15 Wrzesień 2004 09:25

Sykel - robak internetowy

• 14/9/2004

.Sykel jest robakiem internetowym, wykorzystującym do rozprzestrzeniania się błąd w systemie Windows opisany w biuletynie Microsoftu MS04-011.

Robak tworzy swoją kopię na dysku w pliku iexp1orer.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Dodatkowo robak tworzy swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie (np. KaZaA, ) w plikach o następujących nazwach:

fantasy.scr

you the best.scr

pinguin5.exe

hello.pif

myfack.pif

icqcrack.exe

antibush.scr

mylove.pif

newvirus.exe

matrix.scr

rulezzz.scr

mymusic.pif

1.exe

winamp5.exe

icq2004-final.exe

nicegirlsshowv12.scr

matrix.scr

tropicallagoonss.scr

eroticgirls2.0.exe

winamp6.exe

opera7.7.exe

childporno.pif

crazzygirls.scr

opera7.x crack.exe

dvdplayer.exe

dap53.exe

trillian 2.0 crack.exe

kmd.exe

icqlite.exe

WinZip 9.0.exe

iMeshV4.exe

icqpro2003b.exe

zlsSetup_45_538_001.exe

Morpheus.exe

LimeWireWin.exe

wrar330.exe

trillian-v2.74h.exe

dap71.exe

WinZip 9.0 crack.exe

wrar330 crack.exe

icqpro2003b crack.exe

iMeshV4 crack.exe

dap53 crack.exe

Następnie robak łączy się z komputerami, których adresy IP wybiera losowo. Jeżeli komputery te działają pod kontrolą jednego z następujących systemów: Windows NT/2000/XP/2003 Server oraz nie są zabezpieczone odpowiednią łatą robak, łącząc się przez port 445 ze zdalnym komputerem, uruchamia kod powodujący pobranie kopii robaka z atakującego komputera z uruchomionym serwerem FTP.

Działanie robaka może objawiać się dużym spowolnieniem działania systemu Windows.

Aby zabezpieczyć się przed infekcją należy pobrać i zainstalować łatę ze strony Microsoftu dla odpowiedniego systemu Windows:

łata dla Windows NT

łata dla Windows NT Server

łata dla Windows 2000

łata dla Windows XP

łata dla Windows Server 20

pysiu · 20 Wrzesień 2004 11:03

Mexer.E - robak internetowy

• 20/9/2004

Mexer.E jest robakiem internetowym którego działanie polega na rozsyłaniu swoich kopii za pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie - KaZaA i iMesh.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: [jeden z poniższych]

EBAY Information

VISA Information

Provider Information

Your Crack

Internet Information

Treść: [jedna z poniższych]

EBAY Installer…

Security Tool…

Here is your crack!

New account data…

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoje kopie w plikach następująch nazwach:

Ruby13.exe

Nero Burning ROM v6.3 Ultra: Enterprise edition key.exe

Counter-Strike, Condition Zero: Activation Key.exe

icqbomber.exe

BurnDvds.exe

Dvd Ripper.exe

Dvd To Vcd.exe

Easy Dvd Ripper.exe

EZ Dvd Ripper.exe

Nimo Codec Pack Updater.exe

Xvid Codec Installer.exe

Starcraft + Broodwar 1.10 map hack.exe

Starcraft + Broodwar 1.10 no-cd hack.exe

Diablo 2 map hack.exe

Diablo 2 no-cd hack.exe

Jamella’'s Diablo 2 hero editor.exe

Warcraft 3 map hack.exe

Warcraft 3 stat hack.exe

Warcraft 3 no-cd hack.exe

Warcraft 3 Frozen Throne map hack.exe

Warcraft 3 Frozen Throne cd-cd hack.exe

The Frozen Throne map hack.exe

Counterstrike hacks.exe

Counterstrike aim hack.exe

Crack McAfee 7.exe

Crack Norton 3000.exe

Borland KeyGens.exe

SophosCrackAllVersion.exe

PANDA.lusers.exe

PANDA.AVers.lusers.exe

MP3 encoder decoder V1.8.exe

Cisco Certification Test.exe

MSCE Certification Test.exe

Windows Nt Certification Test.exe

XBOX X-Fer Ripper and Transfer.exe

Information.exe

EBAY.exe

VISA.EXE

PROVIDER.EXE

INTERNET.EXE

i o nazwach zaczynających się od następujących ciągów:

Norton AntiVirus 2004 Pro Activation Key &

Microsoft Windows XP Professional

Adobe Photoshop CS and ImageReady CS 8.0

Zone Alarm 5.0 pro

Harry Potter and the Prisoner of Azkaban KeyGen and

Norton Internet Security 2004 Keygen &

All Adobe Products

All Macromedia Products

All Microsoft Products

Divx Pro 5.1

Dvd Plus

Dvd Wizard Pro

Dvd Xcopy

DvdCopyOne

DvdToVcd

Easy Dvd creator

Nero Burning Rom

BitDefender

Nod32

Ipswich Town Official Management Game -

Bridge Baron 13

American Conquest -

Grom -

Slot City 3

Command and Conquer Generals

Nascar Racing 2003 Season

Eonix Realm Of Hepmia -

I Was An Atomic Mutant -

Fetish Fighters -

Battlefield 1942 The Road to Rome -

The Campaigns of La Grande Armee -

Unreal II The Awakening -

The Emperors Mahjong -

Sim City 4 -

Private Nurse -

Impossible Creatures -

Test Drive -

Shadow of Memories -

World Of Outlaws Sprint Car Racing 2002 -

Tombstone 1882 -

Airport Tycoon II -

Apache AH-64 Air Assault -

A+ Certification Test.exe

Serious Sam - Gold Edition -

IGI-2 Covert Strike -

Tom Clancys Splinter Cell -

Robot Arena Design And Destroy -

Freelancer -

Battlefield Vietnam -

Deus Ex -

Forbidden Siren -

Doom 3 -

WinRAR 3

WinACE

WinZIP 9

Norton AntiVirus 2005

Shrek 2

Spider-Man 2

Spellforce - Breath of Winter

Norton Internet Security 2005 Pro

Norton Internet Security 2004 Pro

Symantec Internet Secutiy 2005

Symantec Antivirus 2005

Harry Potter und der Gefangene von Askaban

Kazaa all

Windows Server 2003

Office XP Universal

oraz modyfikuje tak rejestr by jego kopia w pliku Ruby13.exe była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak dodaje katalog zawierający jego kopie do katalogów udostępnionych w programach KaZaA i iMesh, umożliwiając sobie w ten sposób rozprzestrzenianie się za ich pośrednictwem.

Następnie robak wyszukuje adresy poczty elektronicznej w plikach o następujących rozszerzeniach: wab, dbx, htm, sht, txt, doc, rtf. Na odnalezione adresy rozsyła listy elektroniczne zawierające jego kopie, korzystając przy tym z własnego silnika SMTP.

pysiu · 21 Wrzesień 2004 12:13

Sndog - robak internetowy

• 21/9/2004

Sndog jest robakiem internetowym, którego działanie polega na rozprzestrzenianiu się za pośrednictwem poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: [jeden z poniższych]

Fw: Romeo y Julieta

Fw: Huevo cartoon

Fw: El mono mario

Fw: la felicidad

Fw: La academia

Fw: Big brother Vip 3

Te adoro

Fw: que tanto quieres a tu amigo

Fw: Test de tenga a tu novio (a)?

Fw: tips para tirar choros a las chavas

Fw: Como saber si tienes un admirador secreto

Aviso Importante

Fw: Snoopy

Fw: ana_patricia@hotmail.com

Fw: nuevo programa para bajar musica

Fw: Antagonistas

Załącznik: [różna nazwy plików]

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoje kopie w plikach o następujących nazwach: csrss.exe, Ave.exe, broma.exe, corsa.exe, doors.exe, huevohussein.exe, huevomaniaco.exe, liame.vbs, pkzip.exe, program.exe, proyecto.exe, setup1.exe, unzip.exe oraz modyfikuje tak rejestr by jego kopia w pliku csrss.exe była automatycznie uruchamiana przy każdym starcie systemu Windows.

Dodatkowo robak tworzy na dyskietce swoje kopie w plikach o następujących nazwach:

ac&dc.exe

archivos.exe

Files.exe

media.exe

mono mario.exe

presentacion.exe

source.exe

Ponadto robak tworzy swoje kopie w katalogach współdzielonych następujących programów do wymiany plików w Internecie: EDonkey, P2P Edonkey, KaZaA, Morpheus, iMesh, BearShare, Grokster, Edonkey2000, tworząc je w plikach o następujących nazwach:

Crack de winzip 9

Neoragex parche para Kof2003

Windows Xp Home serial number

WinXp Home KeyGenerator

Windows Xp Profesional serial number

WinXp Profesional Serials

Office Xp crack

Keygenerator Office Xp

Emurayden Xp

Setup

Half life Keygenerator

HLKeygenerator

Half life opossing force crack

Opossing crack

Visual Basic keygenerator

Keygenerator

Delphi all versions keygen

Norton Antivirus 2004 keygen

NAV Keygenerator

Panda Antivirus Titanium Keygenrator for all versions

PAT Keygen

Mcafee Antivirus Scan Crack

McAfee Scan keygen

MSN Poligammy for 6.x

Poligammy for MSN 6.x

Messenger Plus

MSN Plus

Kazaa lite 2_3_5

Kazaa lite

Kazaa lite 3_1_0

Kazaa lite ++

Musicmatch 9.x crack

Crack MusicMatch Jukebox 9

Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w książce adresowej systemu Windows oraz zmienia stronę startową przeglądarki Internet Explorer

pysiu · 22 Wrzesień 2004 12:14

Nemog.D - koń trojański

• 22/9/2004

Nemog.D jest koniem trojańskim, którego działanie polega na umożliwieniu wykorzystania zainfekowanego komputera jako pośrednika (proxy) do wysyłania poczty elektronicznej oraz łączenia się ze stronami www.

Aktywny trojan tworzy na dysku następujące pliki: dx32cxlp.exe, dx32cxel.sys, dx32cxconf.ini oraz modyfikuje tak rejestr by jego kopia w pliku dx32cxlp.exe była automatycznie uruchamiana przy każdym starcie systemu jako usługa.

Trojan pozwala na korzystanie z zainfekowanego komputera jako pośrednika w wysyłaniu poczty oraz w łączeniu się ze stronami www co umożliwia zachowanie anonimowości.

Dodatkowo robak modyfikuje plik hosts czego efektem jest zablokowanie dostępu do następujących stron www:

http://www.avp.com

http://www.viruslist.com

http://www.symantec.com

networkassociates.com

secure.nai.com

downloads1.kaspersky-labs.com

downloads2.kaspersky-labs.com

downloads3.kaspersky-labs.com

downloads4.kaspersky-labs.com

downloads-us1.kaspersky-labs.com

downloads-eu1.kaspersky-labs.com

kaspersky-labs.com

http://www.networkassociates.com

us.mcafee.com

f-secure.com

http://www.sophos.com

sophos.com

http://www.ca.com

securityresponse.symantec.com

symantec.com

mast.mcafee.com

my-etrust.com

http://www.kaspersky.com

http://www.f-secure.com

liveupdate.symantec.com

customer.symantec.com

rads.mcafee.com

liveupdate.symantecliveupdate.com

http://www.mcafee.com

mcafee.com

http://www.my-etrust.com

download.mcafee.com

updates.symantec.com

kaspersky.com

http://www.trendmicro.com

pysiu · 23 Wrzesień 2004 11:17

Randin - robak sieciowy

• 23/9/2004

Randin jest robakiem, którego działanie polega na rozprzestrzenianiu się za pośrednictwem udostępnionych katalogów w sieciach opartych na systemie Windows.

Aktywny robak modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak losowo generuje adresy IP komputerów, do których stara się połączyć próbując odgadnąć hasło. Jeżeli mu się to uda tworzy na tym komputerze swoje kopie w pliku: consoles.exe w różnych katalogach

pysiu · 24 Wrzesień 2004 12:30

Themis - robak VBSowy

• 24/9/2004

Themis jest prostym robakiem napisanym w języku Visual Basic Script, którego działanie polega na rozprzestrzenianiu się za pośrednictwem KaZaA i wysyłanie komunikatów na kanałach IRCa.

Aktywny robak tworzy swoją kopię w katalogu współdzielonym programu KaZaA w pliku o nazwie sex porn ■■■■.vbs.

Dodatkowo robak stara się zmodyfikować skrypt startowy popularnego programu do obsługi IRCa - mIRCa - tak by ten automatycznie wysyłał do wszystkich uczestników kanału, na który wejdzie zainfekowany użytkownik następujący tekst:

Hey [nick] ! Have you ever visited [adres strony]? It’'s kewl

Na koniec robak zmienia stronę startową przeglądarki Internet Explorer.

pysiu · 28 Wrzesień 2004 15:49

Shore.K - wirus makrowy

• 28/9/2004

Shore.K jest wirusem makrowym, którego działanie polega na infekowaniu kolejnych dokumentów Worda 97 i wyższych.

Aktywny wirus infekuje globalny szablon normal.dot czego efektem jest infekowanie wszystkich edytowanych za pomocą Worda dokumentów na tym komputerze.

Dodatkowo wirus zabezpiecza hasłem dostęp do edytora Visual Basica w programie Word co uniemożliwia korzystanie z niego bez podania prawidłowego hasła. Hasło to ma następującą postać: 7882195.

Wirus nie zawiera procedur destrukcyjnych, a jego działanie polega na rozprzestrzenianiu się i zmienianiu ustawień Worda.

pysiu · 30 Wrzesień 2004 20:34

Mydoom.AC - robak internetowy

• 30/9/2004

Mydoom.Y jest szyfrowanym robakiem rozsyłającym się za pomocą poczty elektronicznej.

W momencie uruchomienia pliku robaka wykonuje on następujące czynności:

tworzy swoją kopię w katalogu systemowym Windows (domyślnie c:\windows lub c:\winnt zależnie od wersji systemu) w pliku WinHook32.exe

dodaje swoje wywołanie do klucza rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

by mógł uruchamiać się przy każdym starcie systemu.

przeszukuje dyski twarde komputera w poszukiwaniu plików o rozszerzeniach: wab, pl, adb, tbb, dbx, asp, php, sht, htm, txt w poszukiwaniu adresów email na które następnie będzie się rozsyłał

rozpoczyna masową wysyłkę na wcześniej znalezione adresy email.

Robak rozsyła własne kopie za pomocą poczty elektronicznej w następującej formie:

Od: [fałszywy adres]

Temat: [jeden z poniższych]

Holohoax information

Hackers for Historical Truth

Free Ernst Zundel

The holocaust is a lie

Information about Holocaust

The Germar Rudolf Report

Hello, here is your information!

Jewish Holocaust, another lie

Treść: [jedna z poniższych]

‘‘Courage’’, the ability to recognizr an iniquitous thing

and take action against it: http://www.vho.org

Ten thousand museums, ten thousand ‘‘survivor’’ eyewitness

testimonies, ten thousand TV documentaries, ten thousand

Hollywood movies and ten thousand newspaper and magazine

articles would not make a lie a truth.

See http://www.ihr.com

If you are interested in the truth regarding the so-called

Holocaust please see http://www.vho.org

The Holocaust is an outright lie. Please see http://www.zundelsite.org

for much more. The truth deserves to be known.

Załącznik: [nazwa].[bat, cmd, exe, scr, pif]

body

trusth

holohoax-report

data

file

text

document

info

report

Robak tworzy też swoje kopie w udostępnionych katalogach programów do wymiany plików w Internecie (KaZaA, Morpheus, iMesh, eDonkey 2000, LimeWire) w plikach o następujących nazwach:

MSNCracker2005.exe

GameCrack2005.exe

Windows_Activation.exe

XP_Crack.exe

Office2005.exe

Install.exe

Setup.exe

Przeprowadza atak typu Denial of Service w stosunku do strony znajdującej się pod adresem http://www.holocaust-museum.org.