- Petr Lokvenc --- 5. 10. 2002
Re: Ochrana pred viry (1830)
Kdo trochu s počítači "umí" (já to nejsem) může použít drobnůstku, kterou mi poslal kamarád. Protože konference nepodporuje přílohy, omlouvám se, že to dávám do těla zprávy: Win32:BugBear
Win32:BugBear je Internetovým wormem, vytvořeným v programovacím jazyce Microsoft C a zabaleným programem UPX. Worm je dlouhý 50688 slabik a šíří se pomocí elektronické pošty a po sdílených discích lokální sítě. Do systému navíc instaluje trojského koně, který je schopen zaznamenávat stisknuté klávesy a odpovídat na povely zvenčí. Worm přichází jako náhodně pojmenovaný soubor připojený ke zprávě. Předmět a obsah zprávy mohou být velmi různorodé, dokonce v různých jazycích. Worm využívá dlouho známé bezpečnostní díry IFrame, která umožňuje automatické spuštění v systémech, které nejsou správným způsobem opraveny pomocí příslušné záplaty firmy Microsoft. Po spuštění infikovaného souboru se worm nakopíruje do adresáře WINDOWS\SYSTEM pod náhodným čtyřznakovým jménem, pak se nakopíruje do adresáře Windows STARTUP pod náhodným tříznakovým jménem. Pak se pokouší rozšířit po lokální síti na vzdálené počítače, které mají nastavené sdílené disky, a to pod náhodným tříznakovým jménem. Také otevírá port 36794 a poslouchá, zda nepřicházejí povely zvenčí. Worm pak vypustí trojského koně - program pro zaznamenávání stisknutých kláves - a to do následujících souborů: C:\WINDOWS\SYSTEM\ICCYOA.DLL, C:\WINDOWS\SYSTEM\LGGUQAA.DLL, C:\WINDOWS\SYSTEM\ROOMUAA.DLL, C:\WINDOWS\OKKQSA.DAT a C:\WINDOWS\USSOWA.DAT. Při šíření po lokální síti může worm způsobit tisk nesmyslných znaků na síťových tiskárnách.
Worm vytváří následující položku v registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\"tie" = "****.EXE"
Worm se také snaží vyřadit z činnosti řadu antivirových programů a firewallů: _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE, APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCTRL.EXE, AVKSERV.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE, BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLAW95.EXE, CLAW95CF.EXE, CLEANER.EXE, CLEANER3.EXE, DVP95.EXE, DVP95_0.EXE, ECENGINE.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE, F-PROT.EXE, F-PROT95.EXE, F-STOPW.EXE, FINDVIRU.EXE, FP-WIN.EXE, FPROT.EXE, FRW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFACE.EXE, IOMON98.EXE, JEDI.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE, MPFTRAY.EXE, N32SCANW.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVW32.EXE, NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE, OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PAVSCHED.EXE, PAVW.EXE, PCCWIN98.EXE, PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SERV95.EXE, SMC.EXE, SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE, VET95.EXE, VETTRAY.EXE, VSCAN40.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSTAT.EXE, WEBSCANX.EXE, WFINDV32.EXE a ZONEALARM.EXE.
Worm se pak snaží najít další oběti - hledá emailové adresy v adresáři Windows a v souborech na disku, které mají následující přípony: MMF, NCH, MBX, EML, TBB a DBX. Pro posílání sebe sama používá svoji vlastní SMTP rutinu, která se snaží najít vhodný SMTP server na následující položce v registry: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts
Worm falšuje pole FROM (Od) podobně, jako to dělá virus Win32:Klez-H. Je proto takřka nemožné zjistit skutečného odesílatele infikované zprávy, a tak najít infikovaný počítač.
Odstranění: Smažte všechny programy napadené a vytvořené virem Win32:BugBear. Pokud je virus aktivní, přístup k některým souborům může být zablokován. Proto je potřeba napřed worm deaktivovat - buď přes Task Manager nebo odstraněním jeho klíče v registry a nabootováním počítače.
Všechny verze programu avast! jsou schopny tento worm detekovat, pokud je příslušný datový soubor VPS alespoň z 30. září 2002. ----- Original Message ----- From: "Pavel Benda" <pavel_benda/=/seznam.cz> To: "Včelařský mailing list" <vcely/=/v.or.cz> Sent: Saturday, October 05, 2002 6:26 PM Subject: Ochrana pred viry
> Na internetu je pro domaci pouziti zdarma ke stazeni antivirovy program > firmy AVAST. Je dost dobry. Jedina vada. Je velky 10Mb. Stahuje se asi > trictvrte hodiny, kdyz to jde dobre. Ale je to legalne. Adresa je > http://www.avast.cz/ > Mejte se hezky. Pavel Benda > >
|
Odpovědět do diskuze na příspěvek číslo 1831
Zobrazit odpovědi na tento příspěvek
Zobrazit celé vlákno |