| | - Petr Lokvenc --- 5. 10. 2002
Re: Ochrana pred viry
Kdo trochu s počítači "umí" (já to nejsem) může použít drobnůstku, kterou mi
poslal kamarád. Protože konference nepodporuje přílohy, omlouvám se, že to
dávám do těla zprávy:
Win32:BugBear
Win32:BugBear je Internetovým wormem, vytvořeným v programovacím jazyce
Microsoft C a zabaleným programem UPX. Worm je dlouhý 50688 slabik a šíří
se pomocí elektronické pošty a po sdílených discích lokální sítě. Do systému
navíc instaluje trojského koně, který je schopen zaznamenávat stisknuté
klávesy a odpovídat na povely zvenčí. Worm přichází jako náhodně pojmenovaný
soubor připojený ke zprávě. Předmět a obsah zprávy mohou být velmi
různorodé, dokonce v různých jazycích. Worm využívá dlouho známé
bezpečnostní díry IFrame, která umožňuje automatické spuštění v systémech,
které nejsou správným způsobem opraveny pomocí příslušné záplaty firmy
Microsoft.
Po spuštění infikovaného souboru se worm nakopíruje do adresáře
WINDOWS\SYSTEM pod náhodným čtyřznakovým jménem, pak se nakopíruje do
adresáře Windows STARTUP pod náhodným tříznakovým jménem. Pak se pokouší
rozšířit po lokální síti na vzdálené počítače, které mají nastavené sdílené
disky, a to pod náhodným tříznakovým jménem. Také otevírá port 36794 a
poslouchá, zda nepřicházejí povely zvenčí. Worm pak vypustí trojského koně -
program pro zaznamenávání stisknutých kláves - a to do následujících
souborů: C:\WINDOWS\SYSTEM\ICCYOA.DLL, C:\WINDOWS\SYSTEM\LGGUQAA.DLL,
C:\WINDOWS\SYSTEM\ROOMUAA.DLL, C:\WINDOWS\OKKQSA.DAT a
C:\WINDOWS\USSOWA.DAT. Při šíření po lokální síti může worm způsobit tisk
nesmyslných znaků na síťových tiskárnách.
Worm vytváří následující položku v registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\"tie" = "****.EXE"
Worm se také snaží vyřadit z činnosti řadu antivirových programů a
firewallů:
_AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE,
APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCTRL.EXE,
AVKSERV.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE,
AVPM.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE,
BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE,
CFINET32.EXE, CLAW95.EXE, CLAW95CF.EXE, CLEANER.EXE, CLEANER3.EXE,
DVP95.EXE, DVP95_0.EXE, ECENGINE.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE,
F-PROT.EXE, F-PROT95.EXE, F-STOPW.EXE, FINDVIRU.EXE, FP-WIN.EXE, FPROT.EXE,
FRW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE,
ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFACE.EXE, IOMON98.EXE,
JEDI.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE,
MPFTRAY.EXE, N32SCANW.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVW32.EXE,
NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE,
OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PAVSCHED.EXE, PAVW.EXE, PCCWIN98.EXE,
PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE,
SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SERV95.EXE, SMC.EXE,
SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE,
VET95.EXE, VETTRAY.EXE, VSCAN40.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSTAT.EXE,
WEBSCANX.EXE, WFINDV32.EXE a ZONEALARM.EXE.
Worm se pak snaží najít další oběti - hledá emailové adresy v adresáři
Windows a v souborech na disku, které mají následující přípony: MMF, NCH,
MBX, EML, TBB a DBX. Pro posílání sebe sama používá svoji vlastní SMTP
rutinu, která se snaží najít vhodný SMTP server na následující položce v
registry:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts
Worm falšuje pole FROM (Od) podobně, jako to dělá virus Win32:Klez-H. Je
proto takřka nemožné zjistit skutečného odesílatele infikované zprávy, a tak
najít infikovaný počítač.
Odstranění:
Smažte všechny programy napadené a vytvořené virem Win32:BugBear. Pokud je
virus aktivní, přístup k některým souborům může být zablokován. Proto je
potřeba napřed worm deaktivovat - buď přes Task Manager nebo odstraněním
jeho klíče v registry a nabootováním počítače.
Všechny verze programu avast! jsou schopny tento worm detekovat, pokud je
příslušný datový soubor VPS alespoň z 30. září 2002.
----- Original Message -----
From: "Pavel Benda" <pavel_benda/=/seznam.cz>
To: "Včelařský mailing list" <vcely/=/v.or.cz>
Sent: Saturday, October 05, 2002 6:26 PM
Subject: Ochrana pred viry
> Na internetu je pro domaci pouziti zdarma ke stazeni antivirovy program
> firmy AVAST. Je dost dobry. Jedina vada. Je velky 10Mb. Stahuje se asi
> trictvrte hodiny, kdyz to jde dobre. Ale je to legalne. Adresa je
> http://www.avast.cz/
> Mejte se hezky. Pavel Benda
>
>
|
Odpovědět
do diskuze
na příspěvek
číslo 1831
Zobrazit
odpovědi
na tento
příspěvek
Zobrazit
celé
vlákno |