Info o wirusach i szczepionkach na nie!

Dla specjalistów Bezpieczeństwo
#81

Beagle.AR - robak internetowy

• 29/9/2004

Beagle.AR jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [fałszywy adres]

Temat: [jeden z poniższych]

Re:

Re: Hello

Re: Hi

Re: Thank you!

Re: Thanks :slight_smile:

Treść: :))

Załącznik: [jeden z poniższych].[com, cpl, exe, scr]

Price

price

Joke

W adres nadawcy robak wstawia losowy adres email odnaleziony na zarażonym komputerze, zatem osoba pojawiająca się jako nadawca listu z robakiem nie jest jego prawdziwym nadawcą.

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w plikach bawindo.exe, bawindo.exeopen, bawindo.exeopenopen, bawindo.exeopenopenopen oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak kasuje wpisy:

9XHtProtect

Antivirus

EasyAV

FirewallSvr

HtProtect

ICQ Net

ICQNet

Jammer2nd

KasperskyAVEng

MsInfo

My AV

NetDy

Norton Antivirus AV

PandaAVEngine

SkynetsRevenge

Special Firewall Service

SysMonXP

Tiny AV

Zone Labs Client Ex

service

z rejestrów systemu z kluczy:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dodatkowo robak pozwala na przejęcie kontroli nad zainfekowanym komputerem poprzez sieć.

Robak rozsyła własne kopie za pomocą poczty elektronicznej, wykorzystując do tego własny silnik SMTP, na adresy odnalezione na zainfekowanym komputerze, w plikach o rozszerzeniach adb, asp, cfg, cgi, dbx, dhtm, eml, htm, jsp, mbx, mdx, mht, mmf, msg, nch, ods, oft, php, pl, sht, shtm, stm, tbb, txt, uin, wab, wsh, xls, xml.

Na koniec robak tworzy swoje kopie w katalogach zawierających w nazwie ciąg shar, starając się w ten sposób stworzyć swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie. Kopie te mają następujące nazwy:

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

Usuwanie robaka

Aby usunąć robaka należy pobrać i uruchomić bezpłatny program MksClean.exe

Jeżeli zaraz po uruchomieniu program MksClean.exe wyłącza się należy zmienić mu nazwę na dowolną i ponownie uruchomić.

#82

Ducky.B - koń trojański wykorzystujący lukę w bibliotece GDI+

• 1/10/2004

Ducky.B jest koniem trojańskim wykorzystującym błąd w bibliotece GDI+ w systemach Windows opisany w biuletynie Microsoftu MS04-028.

Korzystając z tej luki trojan uruchamia swój kod na komputerze ofiary, czego efektem jest pobranie kolejnego pliku z komputera o adresie IP 69.93.58.116 oraz zapisanie go w pliku o nazwie t2.exe.

#83

Rtkit.B - koń trojański

• 4/10/2004

Rtkit.B jest koniem trojańskim, którego działanie polega na udostępnianiu możliwości przejęcia kontroli nad zainfekowanym komputerem przez sieć.

Aktywny trojan tworzy na dysku następujące pliki: ntrootkit.exe, globalc.dll, npf.sys, rtkit.log oraz dokonuje wpisów w rejestrze odwołujących się do tych plików.

Trojan umożliwia komunikację z zainfekowanym komputerem za pośrednictwem protokołów TCP, UDP, ICMP.

Za pośrednictwem trojana można przejąć kontrolę nad zainfekowanym komputerem, a w szczególności wykonywać takie działania jak: ukrywać pliki i katalogi, pobierać i wysłać pliki, przechwytywać pisanie na klawiaturze, zmieniać hasła, pokazywać i wyłączać procesy, uzyskiwać informacje o systemie, restartować komputer

#84

Ducky.B - koń trojański wykorzystujący lukę w bibliotece GDI+

• 1/10/2004

Ducky.B jest koniem trojańskim wykorzystującym błąd w bibliotece GDI+ w systemach Windows opisany w biuletynie Microsoftu MS04-028.

Korzystając z tej luki trojan uruchamia swój kod na komputerze ofiary, czego efektem jest pobranie kolejnego pliku z komputera o adresie IP 69.93.58.116 oraz zapisanie go w pliku o nazwie t2.exe

#85

Bagz.A - robak internetowy

• 7/10/2004

Bagz.A jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: [jeden z poniższych]

Re: User ID Update

Fwd: Your Funds are Eligible for Withdrawal

find a solution with this customer

No Subject

Re: Help Desk Registration

failure notice

Fwd: Password

when should i call you?

RE: Re: A question

Knowledge Base Article

Open Invoices

Returned mail: see transcript for details

building maintenance

[Fwd]

WinXP

troubles are back again

Questions

Order Approval

units available

progress news

big announcements

Need help pls

You have recieved an eCard!

What is this ???

Deactivation Notice

Message recieved, please confirm

My funny stories

Cost Inquiry

Re: payment

referrences

Webmail Invite

RE: quote request

Treść: [jedna z poniższych]

Hello,

Sorry, I forgot to attach the new contact information.

Please view the attached (.pdf) contact sheet.

Sincerely,

User

Hello,

I resent this email as attachment because

it was previously blocked by your email filters.

Please read the attachment and respond.

Thanks,

User

Hello,

I was in a hurry and I forgot to attach an important

document. Please see attached.

Best Regards,

User

Hello,

Your email was received.

YOUR REPLY IS URGENT!

Please view the attached text file for instructions.

Regards,

User

Hello,

Your email was sent in an INVALID format.

To verify this email was sent from you,

simply open the attached email (.eml) file

and click yes in the sender options box.

Thank You,

User

Hello,

My PC crashed while I was sending that last email.

I have re-attached the document of yours that I

discovered. Please read attached document

and respond ASAP.

Sincerely,

User

Hello,

What version of windows you are using?

This last document I received from you came out weird.

Please see the attached word file and resend the file

to me.

Many thanks,

User

***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***

Hello,

The previous email you sent has been recognized as spam.

This means your email was not delivered to your

friend or client. You must open the attached file to

receive more information.

***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***

***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***

You are currently unable to send emails.

This may be a billing issue.

Please call the billing center.

The # for the billing office is located in the attached

contact list for your convenience.

***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***

***URGENT: SERVICE SHUTDOWN NOTICE***

Due to your failure to comply with our email

Rules and Regulations, your email account has been

temporarily suspended for 24 hours unless we are

contacted regarding this situation.

You must read the attached document for further

instructions. Failure to comply will result in t

ermination of your account.

Regards,

Net Operator

***URGENT: SERVICE SHUTDOWN NOTICE***

last request before refunding

Załącznik: [nazwa].[doc,dll,zip][spacje].[exe]

account

support

arch

archive

messages

message

msg

db

warning

att

mail

contact

readme

read

file

atach

documents

doc

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku syslogin.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Dodatkowo robak tworzy następujące pliki dl.exe, ndisrd.sys, ndisapi.dll, jobdb.dll, ipdb.dll, wdate.dll.

Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do osób, których adresy poczty elektronicznej odnajrzie w plikach z roszerzeniami txt, htm, dbx, tbi, tbb.

#86

Fili - robak internetowy

• 8/10/2004

Fili jest robakiem internetowym, którego działanie polega na rozprzestrzenianiu się za pośrednictwem poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: [jeden z poniższych]

Important legal notice!

Please help us to save the right of freedom of expression!

Please help us be free! We need the basic right of expression

Treść: [jedna z poniższych]

Do not delete this message. Analyse attachement and reply

as soon as possible with manifesto details.

Thank you!

All details will be displayed in small attached file.

Good luck and thank you.

Its just hip-hop. Nothing else. Enjoy!

You personal manifesto details are attached. Take good care of them!

Help us gather online votes for our anti-censore manifesto

We need you help now! Attachement will automatically send

a vote to our online database once you run it and will be redirected

to our webpage!

Its curious, its scandalous… dont be so furious!

Life is bitch so dont take it serious.

Please help us be free! We need the basic right of expression.

Enable an online vote for our manifesto with the help of

the attachement.

Many thanks!

Music is beeing censored, journalists are afraid, law has

not been respected for long time. Why? Because of corruption

and lack of right of expression. Help us! Enable the attachement

and our voting system will track and record you help. Many thanks!

Parazitii need your help for the anti-censore campaign!

See all details in the attachement. Thank you!

Oh yeah! one more thing: its a censore-related manifesto :slight_smile:

This is my manifesto. You can stop this individual,

but you can’‘t stop us all…after all,we’'re all alike.

Załącznik: [poniższa nazwa].[bat, cmd, com, exe, pif, scr]

request

manifesto

pilif

sustain cause

details

attachement

Manifesto anti pilif

Manifesto details

Freedom of expression

Simple solution

Government issue

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku pilif.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak tworzy swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie takich jak: KaZaA, Morpheus, eDonkey, Grokster, limewire, ICQ, WinMX. Pliki te mogą mieć następujące nazwy:

Norton 2004 crack

Kasperky AV Universal Key

Dark Coderz Alliance

Anti-hacker Utility

Cracks mega warez collection

Sex - totally free porn

Easy credit card validation

Yahoo hacker

Webmail official hacker

Free porn sites accounts

Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows.

#87

Kamal - wirus makrowy

• 11/10/2004

Kamal jest wirusem makrowym infekującym dokumenty edytora Word 97.

Aktywny wirus infekuje globalny szablon normal.dot czego efektem jest infekowanie wszystkich edytowanych dokumentów na tym komputerze.

Dodatkowo wirus zmienia informacje o autorze i dokumencie na tekst: I-Worm.Kamila oraz obniża poziom zabezpieczeń programu Microsoft Word.

W procesie infekcji tworzy tymczasowe pliki o nazwach: kama.dll, kamila.dll.

#88

Webus.C - koń trojański

• 13/10/2004

Webus.C jest koniem trojańskim, którego działanie polega na umożliwianiu nieautoryzowanego dostępu do zainfekowanego komputera przez sieć.

Aktywny trojan tworzy swoją kopię na dysku w pliku o nazwie lassa.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Trojan otwiera na zainfekowanym komputerze port 10888 lub 1080 gdzie oczekuje na połączenia. Dodatkowo trojan może być sterowany za pośrednictwem IRCa - łączy się z określonym kanałem gdzie oczekuje na komendy. W ten sposób umożliwia on przejęcie kontroli nad zainfekowanym komputerem przez sieć.

#89

Netsky.AD - robak internetowy

• 14/10/2004

Netsky.AD jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Treść: [jedna z poniższych]

Abra rapido isso! !!

acrdito que em voce! !!

algo a mais

AMA!

AmaVoce

amor me liga

arquivo zipado PGP???

Boleto Pague

campanhadafome

encontro voce!

estou doente veja! !!

falea verdade! !!

ferias nos E.U.A

ganhe muita grana

gostaria disso e voce???

grana

Hackers do Brasil

Lembra?

me diz o queacha?

me veja peladinha

Medical Labs Exames! !!

meu telefone liga

olha que isso! !!

parabens!

PizzaVeneza!

Policia SP

pq nao me liga??

preenche ai ta bom

promocao de viajens de fim de ano

Proposta de emprego!!

receitas de bolo!!

retorna logo isso!!

reza de sao tome! !!

sinto voce!!

sua conta bancaria zerada

Sua Conta!!

Surto :frowning:

te amo!

tudo sobre voce sabe

Vacina contra o HIV!!

ve ai logo ta

veja detalhes! !!

veja o que tem no zip e me liga

voce passou :D! !!

Załącznik [nazwa].[bat, com, pif, scr, zip]

AIDS!

LINUSTOR

agua!

aqui

banco!

bingos!

botao

brasil!

carros!

circular

contas!!

criancas!

dinheiro!!

docs

email

festa!!

flipe

grana!!

grana

imposto

jogo!

lantrocidade

loterias

lulao!

missao

revista

sampa!!

sorteado!!

tetas

vaca

vadias!

vips!

voce

war3!

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku msnmsger.exe oraz modyfikuje tak rejestr, by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak tworzy swoje kopie w katalogach współdzielonych popularnych programów do wymiany plików w Internecie w plikach o następujących nazwach:

aninha gatinha!.zip.scr

barrio.scr

cafe!!.zip.scr

Canaval2004!.jpg.pif

Carnaval em Salvador!!.zip.scr

caspa.scr

celulares!!.zip.scr

clica ai logo meu.scr

comoserrico!.zip.scr

importante! !!

minhavida!.zip.exe

MulataDandoOcujpg.scr

multas.pif

paula!.scr

puteiros!!.scr

receitas de bolo!!.zip.scr

rede globo tv!.zip.scr

ResidentEvil2.zip.scr

rocha.scr

traficoemSP!.scr

vadias peladas!!.scr

vida!!.zip.scr

VivaNaBaia!.scr

vota!.zip.scr

Następnie robak zbiera znajdujące się na dysku adresy poczty elektronicznej z plików o następujących rozszerzeniach: SCS, adb, asp, dbx, doc, eml, htm, html, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, wab.

Na koniec robak rozsyła własne kopie z pomocą poczty elektronicznej na wyszukane wcześniej na komputerze adresy email.

#90

Nits.A - robak internetowy

• 15/10/2004

Nits.A jest robakiem internetowym, którego działanie polega na rozprzestrzenianiu się poprzez zasoby administracyjne w systemach Windows oraz na uruchamianiu serwera HTTP proxy na zainfekowanym komputerze.

Aktywny trojan tworzy na dysku swoją kopię w pliku msdata.dat oraz modyfikuje tak rejestr, by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak generuje losowe adresy IP i łączy się z komputerami o tych adresach starając się odgadnąć hasło do zasobów administracyjnych (jeżeli takie istnieją) systemów Windows. Jeżeli mu się to uda tworzy na nowym komputerze swoją kopię.

Na koniec robak uruchamiana serwer HTTP proxy czyniąc z zainfekowanego komputera pośrednika w połączeniach HTTP co pozwala na ukrycie prawdziwego adresu IP osoby korzystającej z proxy w połączeniach ze stronami www.

#91

Narcs - robak internetowy

• 19/10/2004

Narcs jest robakiem internetowym, którego działanie polega na rozprzestrzenianiu się za pośrednictwem programów do wymiany plików w Internecie.

Aktywny robak tworzy na dysku katalog sys32i w którym następnie tworzy swoje kopie w następujących plikach:

Age of Empires crack.exe

Age of Empires.exe

CD Key.exe

Counter Strike 6.exe

Counter Strike.exe

Grand Theft Auto 3 CD2 ISO.exe

Half-Life.exe

Hotmail Hack.exe

Hotmail account cracker.exe

KeyGen.exe

Microsoft Office.exe

Norton Anti Virus 2004.exe

Norton Anti Virus 2005.exe

Norton Anti Virus Crack.exe

Norton Firewall.exe

Norton Internet Security 2004.exe

Partition Magic 8.exe

Playstation 2.exe

Resident Evil.exe

Scran.cpl

Scran.exe

Tomb Raider.exe

Trojan Remover.exe

Windows XP Home.exe

Yahoo Hack.exe

ZoneAlarm Firewall Pro.exe

Robak modyfikuje tak rejestr by jego kopia w pliku Scran.exe była automatycznie uruchamiana przy każdym starcie systemu Windows oraz by katalog z jego kopiami był udostępniany w programach do wymiany plików w Internecie takich jak KaZaA i iMesh.

Dodatkowo 1 stycznia robak wyświetla następujący komunikat:

Ha?

Happy New Year W32.Scran!!

#92

Watsoon.A - koń trojański

• 20/10/2004

Watsoon.A jest koniem trojańskim, którego działanie polega na umożliwianiu przejęcia kontroli nad zainfekowanym komputerem poprzez sieć.

Aktywny trojan tworzy na dysku swoje kopie w plikach: drwatsoon.exe, krnl386Mem oraz tak modyfikuje rejestr by był automatycznie uruchamiany przy każdym starcie systemu Windows. Trojan tworzy również na dysku plik o nazwie NClienti386.exe.

Trojan oczekuje na połączenie na porcie 19381 umożliwiając w ten sposób przejęcie kontroli nad komputerem ofiary poprzez sieć a w szczególności wykonywanie następujących działań: operacje na plikach, zabijanie procesów, operacje na katalogach, zbieranie informacji o systemie.

Dodatkowo trojan tworzy na dysku wiele swoich kopii w katalogu o losowej nazwie. Nazwy tych kopii mają rozszerzenia exe, pif, scr i zawierają następujące ciągi:

Fire Hole

Adventure Stuff

Nite Vision

Play And Destroy

Don’'t Open Me

Try This if you have heart

Oh ye Kiss Me now

Last Archive

Backup on dec 2003

Setup its

What up doc

Who is terrorist

Porn baby

Black Book

Adult on night

Porn Articel

Hacker Tutorial1

Hacker Tutorial2

ACD Wallpapers

Blue Laces 16

Coffee Beans

FeatherTextures

Gone Fishings

Greenstones

Prairie Winds

Rhododendrons

River Sumidas

Santa Fe Stuccos

Soap Bubbless

Winnts

Zapotecs

Sexy Honey

Blue Porn 17 age

Vagina mmm…mm

Sex Penis

My Hearts

Accounting Report

SQL Replica

Data Owner

FBI Wanted

dba Stored

Sallary inc

Bank data

Biblio

Northwind

Limpbizkit - Eat you Alive

Limpbizkit Feat Korn - Destroy

Sepultura - Root

Nirvana - Love Buzz

Destiny Child - Say My Name

Eminem - Sex4Me

Britney.s Feat Metalica - Sanitarium

Tonk Hawk - Intro Destroy

Limpbizkit - My Way

Avril.L - Complicated

Java - The Virus

Java - Bad Habbit

#93

Netsky.AE - robak internetowy

• 22/10/2004

Netsky.AE jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [fałszywy adres]

Temat: Mail Delivery failure - [adres email]

Treść: [jedna z poniższych]

If the message will not displayed automatically,

you can check original in attached message.txt.

Załącznik message txt [spacje] mcafee.com

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku csrss.exe oraz modyfikuje tak rejestr, by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak zbiera znajdujące się na dysku adresy poczty elektronicznej z plików o następujących rozszerzeniach: dat, dbx, eml, mbx, mdb, tbb, wab.

Na koniec robak rozsyła własne kopie z pomocą poczty elektronicznej na wyszukane wcześniej na komputerze adresy email, wykorzystując do tego własny silnik SMTP.

#94

Bagz.F - robak internetowy

• 28/10/2004

Bagz.F jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: [jeden z poniższych]

ASAP

please responce

Read this

urgent

toxic

contract

Money

office

Have a nice day

Hello

Hi

Russian’'s

Amirecans

attachments

attach

waiting

best regards

Administrator

Warning

text

Vasia

re: Andrey

re: please

re: order

Allert!

Att

Treść: [jedna z poniższych]

Hi

Did you get the previous document I attached for you?

I resent it in this email just in case, because I

really need you to check it out asap.

Best Regards

Hi

I made a mistake and forgot to click attach

on the previous email I sent you. Please give me

your opinion on this opportunity when you get a chance.

Best Regards

Hi

I was supposed to send you this document yesterday.

Sorry for the delay, please forward this to your family if possible.

It contains important info for both of you.

Best Regards

Hi

Sorry, I forgot to send an important

document to you in that last email. I had an important

phone call.

Please checkout attached doc file when you have a moment.

Best Regards

Hi

I was in a rush and I forgot to attach an important

document. Please see attached doc file.

Best Regards

Sorry to bother you, but I am having a problem receiving

your emails.

I am responding to your last email in the attached file.

Please get back to me if there is any problem reading

the attachment.

I am responding to your last email in the attached file.

I had a delivery problem with your inbox, so maybe you’'ll

receive this now.

Can you please check out the email I have attached?

For some reason, I received only part of your last several

emails.

I want to make sure that there are no problems with either

of our accounts.

This email is being sent as attachment because

it was previously blocked by your email filters.

Please view the attachment and respond.

Thanks

I resent this email as attachment because

it was previously blocked by your email filters.

Please read the attachment and respond.

Thanks

I apologize, but I need you to verify

that I have the correct contact info for you.

My system crashed last weekend and

I lost most of my friends and work contacts.

Please check the attached (.pdf) and

please let me know if your info is current.

My last email to you was returned.

The reason is that I am not currently

added to your “allowed” contact list.

Please add my updated contact info

provided in the attached (.pdf) file

so I can send you emails in the future.

Sincerely

I have updated my email address

See the (.pdf) file attached and

please respond if you have any questions.

We have made recent updates to our database.

Please verify your mailing address on file

is correct.

We have attached a (.pdf) sheet for you to use

for your response.

Hello

Our contact information has changed.

See the attached (.pdf) sheet for details.

Sincerely,

***URGENT: SERVICE SHUTDOWN NOTICE***

Due to your failure to comply with our email

Rules and Regulations, your email account has been

temporarily suspended for 24 hours unless we are

contacted regarding this situation.

You must read the attached document for further

instructions. Failure to comply will result in

termination of your account.

Regards,

Net Operator

***URGENT: SERVICE SHUTDOWN NOTICE***

***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***

You are currently unable to send emails.

This may be a billing issue.

Please call the billing center.

The # for the billing office is located in the attached

contact list for your convenience.

***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***

***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***

Hello,

The previous email you sent has been recognized as spam.

This means your email was not delivered to your friend

or client.

You must open the attached file to receive more information.

***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***

Hello,

What version of windows you are using?

This last document I received from you came out weird.

Please see the attached word file and resend the file

to me.

Many thanks,

User

Hello,

My PC crashed while I was sending that last email.

I have re-attached the document of yours that

I discovered.

Please read attached document and respond ASAP.

Sincerely,

User

Hello,

Your email was sent in an INVALID format.

To verify this email was sent from you,

simply open the attached email (.eml) file

and click yes in the sender options box.

Thank You,

User

Hello,

Your email was received.

YOUR REPLY IS URGENT!

Please view the attached text file for instructions.

Regards,

User

Hello,

I was in a hurry and I forgot to attach an important

document. Please see attached.

Best Regards,

User

Hello,

I resent this email as attachment because

it was previously blocked by your email filters.

Please read the attachment and respond.

Thanks,User

Hello,

Sorry, I forgot to attach the new contact information.

Please view the attached (.pdf) contact sheet.

Sincerely,

User

Załącznik: [nazwa].[doc, zip][spacje].[exe]

backup

admin

archivator

about

readme

help

photos

payment

archives

manual

inbox

outbox

save

rar

zip

ataches

documentation

docs

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku trace32.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Dodatkowo robak tworzy następujący pliki sysinfo32.exe, sqlssl.doc[spacje].exe.

Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do osób, których adresy poczty elektronicznej odnajdzie w plikach z rozszerzeniami txt, htm, dbx, tbi, tbb.

#95

Yeno.B - robak VBSowy

• 2/11/2004

Yeno.B jest robakiem internetowym napisanym w języku Visual Basic Script, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz na infekowaniu plików o określonych rozszerzeniach.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: Fw: I give you again

Treść:

Spidey has give you some password of xxx site

(cute) Spidey

Załącznik: OXNEY.B.VBS

Po uruchomieniu przez użytkownika pliku załącznika robak wyświetla okienko dialogowe z pytaniem: Are you still drunk…???. Jeżeli użytkownik odpowie twierdząco robak kończy swoje działanie, jeżeli przecząco to pojawia się następujący tekst:

________________________ YOU GOT MY WORM ________________________

It’'s not dangerous

to disinfect contact you AV center… !!

http://www.Spidey.uni.cc

for more info about this worm

by (cute) Spidey

________________________ YOU GOT MY WORM ________________________

Następnie robak tworzy na dysku swoją kopię w plikach oxney.b.vbs i LGuarg.exe.vbs oraz modyfikuje tak rejestr by jego kopie były automatycznie uruchamiane przy każdym starcie systemu Windows.

Dodatkowo robak zmienia stronę startową przeglądarki Internet Explorer na stronę znajdującą się pod adresem: Spidey.uni.cc.

Następnie robak infekuje plik z rozszerzeniami htm, html, vbs, vbe poprzez dołączenie do nich swojego kodu uruchamiającego jego kopie znajdujące się na dysku.

Na koniec robak rozsyła swoje kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w książce adresowej systemu Windows.

#96

Alnica - koń trojański

• 5/11/2004

Alnica jest koniem trojańskim, którego działanie polega na umożliwianiu nieautoryzowanego dostępu do zainfekowanego komputer.

Aktywny trojan tworzy swoją kopię w pliku o losowej nazwie oraz modyfikuje tak rejestr by była ona automatycznie uruchamiana przy każdym starcie systemu Windows jako usługa systemowa o nazwie Network Devices Controller.

Trojan powiadamia o pomyślnej infekcji za pomocą ICQ oraz łączy się z serwerami IRCa gdzie oczekuje na komendy. W ten sposób umożliwia przejęcie kontroli nad zainfekowanym komputerem poprzez sieć.

Avone.A - wirus makr Excela

• 8/11/2004

Avone.A jest wirusem makrowym infekującym arkusze Excela.

Po uruchomieniu przez użytkownika zainfekowanego arkusza Excela wirus tworzy swoją kopię w katalogu autostartu programu Excel, czego efektem jest jego automatyczne uruchamianie przy każdym starcie Excela.

Aktywny wirus infekuje wszystkie edytowane w Excelu arkusze.

Wirus zlicza swoje uruchomienia oraz liczbę zainfekowanych arkuszy. Gdy ilość uruchomień przekroczy 100 i liczba zainfekowanych arkuszy przekroczy 10 wtedy wirus usuwa wszystkie pliki z katalogu, z którego został uruchomiony ostatni arkusz.

#97

Orpheus.A - koń trojański

• 10/11/2004

Orpheus.A jest koniem trojańskim, którego działanie polega na udostępnianiu nieautoryzowanego dostępu do zainfekowanego komputera oraz na próbie rozprzestrzeniania się w sieciach lokalnych.

Aktywny trojan tworzy na dysku swoją kopię w pliku hotplug.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana jako usługa systemowa oraz by była wykorzystywana przez system identyfikacji urządzeń Plug and Play.

Trojan umożliwia przejęcie kontroli nad komputerem ofiary poprzez sieć, a w szczególności: uzyskiwanie informacji o systemie, dodawanie i usuwanie użytkowników, zmienianie haseł użytkownikom, uruchamianie aplikacji, udostępnienie zasobów.

Trojan stara się również stworzyć swoje kopie na innych komputerach znajdujących się w tej samej domenie systemu Windows.

#98

Tasin - robak

24.11.2004

Jak podaje Panda Software, najczęściej aktualnie wykrywanym wirusem komputerowym są trzy odmiany robaka Tasin. Program rozprzestrzenia się za pomocą poczty elektronicznej i jest bardzo groźny, bowiem kasuje dużą część plików systemu Windows.

Aby odwrócić uwagę użytkownika od własnej szkodliwej działalności, Tasin wyświetla na monitorze serię wiadomości, przypominających rodzaj gry. W tym czasie wirus rozsyła z zainfekowanego komputera swoje kopie, a następnie kasuje pliki systemowe. Robak Tasin.A po raz pierwszy został wykryty kilka dni temu i od tego czasu stopniowo zajmuje coraz wyższą pozycję na liście najczęściej wykrywanych wirusów. Robak przychodzi wraz z hiszpańskojęzyczną wiadomością, przy czym zarówno temat wiadomości jak i treść zmieniają się w wielu konfiguracjach, spośród możliwych:

Tytuł:

re:xD no me lo puedo creer!!

re:Crees que puede ser verdad?

re:Amor verdadero

Tekst wiadomości:

No veas que cosas xD,luego me cuentas,chao

Crees en el amor de verdad?,miralo y ya hablamos,ciaooo

Mira lo que te mando y ya verás que los detalles mas pequenos son los que importan,ciaoo

oraz plików załącznika:

D-Incógnito.zip

Love-Me.zip

El_rechazo.zip

Po uruchomieniu załącznika Tasin.A tworzy na komputerze kilkanaście plików, z których część zawiera kopie wirusa, pozostałe zaś służą do podejmowania szkodliwej dla systemu działalności. Dodatkowo wirus łączy się z internetem, a następnie pobiera i uruchamia inne szkodliwe programy. Z kolei wykryte we wtorek odmiany Tasin.B i Tasin.C, choć działają podobnie jak pierwowzór, posiadają znaczące różnice w porównaniu z robakiem Tasin.A. Przykładowo, uruchomienie załącznika wirusa Tasin.B powoduje wyświetlenie wiadomości, że dokument jest uszkodzony. Tasin.C pobiera i wyświetla erotyczne obrazki znanych osób pochodzenia hiszpańskiego. Szczegółowe informacje na temat wirusa Tasin i jego odmian dostępne są w encyklopedii wirusów firmy Panda Software.

#99

Inzae.A robak

Robak pocztowy, którego działanie poza rozsyłaniem własnych kopii

polega na usuwaniu plików o określonych rozszerzeniach.

Również znany jako: Worm.Inzae.A

Typ: robak

Długość: 49331

Niszczący dyski: nie

Niszczący pliki: tak

Efekty wizualne: nie

Efekty dźwiękowe: nie

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do

listu elektronicznego o następujących parametrach:

Od: [fałszywy adres]

Temat: [jeden z poniższych]

re:Amor verdadero

re:Como el aire…

re:Crees que puede ser verdad?

re:Déjate de rollos y viv? !!

re:Eso con queso rima con…xD

re:La Luna

re:Neptuno y Mercurio

re:Pisologú}

re:Voodoo un tanto ps…

re:xD no me lo puedo creer!!

Treść: [jedna z poniższych]

No veas que cosas xD,luego me cuentas,chao.

Crees en el amor de verdad?,miralo y ya hablamos,ciaooo

Mira lo que te mando y ya verás que los detalles mas pequenos

son los que importan,ciaoo

Test para ver si andas bien de las neuronassss!xD,luego hablamos,

chao

Qu?relación tienen estos planetas?,miralo y luego me cuentas,chao.

Esa moribunda y solitaria Luna,Impresionante!chao.

Ser?cierta la magia negra?,sal de dudas y ya me cuentas,chao.

No comment,xDD,Nos vemos!!

Renvú}lo a todo que es que se meannn xD,nos vemos!

Załącznik:

D-Incógnito.zip

EL_rechazo.zip

Love-Me.zip

Moon(Luna).zip

My life(Mi vida).zip

Para-Brisas.zip

Planetario.zip

PsúŽuico-Mix.zip

Rimaz.zip

Voodoo!.zip

Po uruchomieniu przez użytkownika pliku znajdującego się w archiwum

ZIP załączonym do listu robak tworzy na dysku swoją kopię w pliku

svchosl.pif oraz modyfikuje tak rejestr by jego kopia była

automatycznie uruchamiana przy każdym starcie systemu Windows.

Dodatkowo robak tworzy na dysku szereg plików oraz wyświetla kilka

okienek z komunikatami po hiszpańsku. Pliki tworzone przez robaka mają

następujące nazwy: inzax.exe, sw.exe, sx.exe, sz.exe, m.zip, codm,

extasis8.pif, inzae.pif, ph003.pif, d2_roberto.pif, simbolic3.pif,

sin_mas_menos.pif.

Następnie robak usuwa z dysku wszystkie pliki z rozszerzeniami: asm,

asp, bdsproj, bmp, c, cpp, cs, csproj, css, doc, dpr, frm, gif, h,

htm, html, iso, jpeg, jpg, mdb, mp3, nfm, nrg, pas, pcx, pdf, php,

ppt, rar, rc, rc2, reg, resx, rpt, sln, txt, vb, vbp, vbproj, wav,

xls.

Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej

wykorzystując do tego własny silnik SMTP.

#100

W97M.Banedi - wirus makr Worda 97

• 22/12/2004

W97M.Banedi jest wirusem makr edytora Word 97 i nowszych, którego działanie, poza infekowaniem kolejnych plików, polega na usuwaniu określonych plików oraz wyświetlaniu okienek dialogowych.

Wirus pojawia się w komputerze ofiary w momencie edycji zainfekowanego dokumentu Worda na komputerze.

Aktywny wirus infekuje globalny szablon normal.dot czego efektem jest infekownie wszystkich kolejno edytowanych dokumentów na tym komputerze.

Wirus usuwa wszystkie pliki z następujących katalogów:

C:\Program Files%\Internet Explorer

C:\Program Files%\Outlook Express

C:\Program Files\Incredimail

C:\Arquivos de programas\Internet Explorer

C:\Arquivos de programas\Outlook Express

C:\Arquivos de programas\Incredimail

Następnie wirus wyświetla serię okienek dialogowych w języku portugalskim, informujących o infekcji.

Jeżeli bieżący dzień to 5 dzień miesiąca wirus zamienia wszystkie wystąpienia litery d na literę F w edytowanym dokumencie.

Na koniec wirus tworzy plik wsadowy o nazwie Dibane.bat wyświetlający poniższą wiadomość oraz modyfikuje tak rejestr by był on automatycznie uruchamiana przy każdym starcie systemu Windows.

Seu computador esta infectado pelo macro virus Dibane.

Your Computer is infected.

Macro virus Dibane.

Infectado.

Infected.

Macro virus word.

Ativado.

Activated.

Word 97 - 2000 - 2003

Tenha um bom fim de semana.

Santy - robak perlowy

• 22/12/2004

Santy jest robakiem internetowym napisanym w języku Perl, którego działanie polega na modyfikowaniu stron internetowych na serwerach korzystających z oprogramowania phpBB wcześniejszych niż wersja 2.0.11.

Robak korzystając z wyszukiwarki Google wyszukuje strony korzystające z oprogramowania phpBB wyszukując ciąg viewtopic.php. Jeżeli robakowi uda się dostać poprzez lukę w tym oprogramowaniu na serwer modyfikuje nadpisując wszystkie pliki z rozszerzeniami asp, htm, jsp, php, phtm, shtm. Efektem nadpisania jest pojawianie się zamiast ich oryginalnej treści tekstu:

This site is defaced! !!

NeverEverNoSanity WebWorm generation