vir ?

[Martin Čejka]

Zdroj: www.grisoft.cz


Mimořádná aktualizace pro AVG
Byla vydána mimořádná aktualizace 217. Tato aktualizace navíc detekuje (mimo
několika dalších) novou variantu wormu I-Worm/Verona:
I-Worm/Verona.B. Bližší informace o tomto wormu se dočtete zde:

I-Worm/Verona.B
Jednoduchý červ polského původu, který se rozesílá ve zprávách s těmito
předměty:

Romeo&Juliet
where is my juliet ?
where is my romeo ?
last wish ???
lol :)
!!!
newborn
merry christmas!
surprise !
Caution: NEW VIRUS !
scandal !
Zpráva je v HTML formátu a obsahuje skript, který otevírá priložený soubor
xjuliet.CHM. Tento soubor nápovědy obsahuje kód, který spouští další
přiložený soubor - XROMEO.EXE.
Červ je na infikovaném počítači uložen v souboru
C:\Windows\sysrnj.exe.
To je vlastní kód červa (je napsán v Delphi a komprimován pomocí UPX), který
po svém spuštení vyrobí a rozešle infikované maily na adresy z adresáře
Outlooku.

Aby zvýšil své šance na šíření, zaregistruje se jako asociovaný program k
těmto příponám:

exe, jpg, jpeg, jpe, bmp, gif, avi, mpg, mpeg, wmf, wma, wmv, mp3, mp2, vqf,
doc, xls, zip, rar, lha, arj, reg

Pokud nyní dvakrát kliknete na soubor s jednou s těchto přípon, místo
správného programu se spustí červ, který přepíše obsah tohoto souboru sebou
samým a ke jménu přidá ".exe". Tedy například mujdoc.doc přejmenuje na
mujdoc.doc.exe a místo dokumentu nyní obsahuje pouze virus.

Velmi nepříjemná věc je registrace .exe přípony. Pokud totiž smažete soubor
sysrnj.exe, nelze nyní spustit jakýkoli .exe soubor. Podobná situace nastává
s červem Navidad. Pro správné odstranění je nutné opravit záznam v
registrech a to: klíč "HKCR\.exe\(Default)" opravit na "exefile" Nyní je
možné smazat soubor sysrnj.exe.

Ostatní registrované přípony však nelze jednoduše opravit, neboť nelze říct,
ke kterému programu příslušely. Je nutno ručně obnovit registraci a to buďto
v nastavení programu nebo například pomocí Průzkumníka.

Pro rozesílání mailu se snaží použít 18 polských SMTP serverů, které jsou
špatně nakonfigurovány a mohou komukoliv posloužit k odeslání zprávy.
Pro detekci potřebujete aktualizace AVG číslo 217.

Martin Čejka
xcejkam@nem.pce.cz
040/6011220
----- Original Message -----
From: Ales Filip <afilip@gmx.net>
To: Multiple recipients of list <hw-news@list.gin.cz>
Sent: Friday, December 01, 2000 9:20 AM
Subject: vir ?


>
> Hello konference,
>
>   Omlouvam se, ze s tim otravuju tady, ale prisly mi od nekolika lidi
>   soubory xromeo.exe 34304byte a xjuliet.chm 6360byte. Rekl bych, ze
>   je to vir, ale antivirak nic nehlasi. Neznate to nekdo ? Kdyby mi to
>   prislo od jednoho cloveka, tek bych se nad tim nepozastavoval, a
>   smazal to, ale kdyz to prislo od nekolika cizich lidi, tak bych to
>   typoval na ten vir.
>
>
>
> Ales Filip    <afilip@gmx.net>
> Kutna Hora    <FIDO 2:423/87>
>   http://afilip.kgb.cz
>        ICQ:64650313
>
>