VIR jako scr !!!!

Lulu mecl
Středa Březen 17 11:50:09 CET 2004


> >> Ing. Tomas Drajsajtl; tomas.drajsajtl@imec.khbo.be
>
> Omylem jsem otevrel prilohu aniz bych se podival na nazev.
> Bylo to off-line a chtelo mi to pripojit internet, to jsem zamitl
> a oba emajly smazal (prislo to 2x) Jsem jiz nakazen?
> Jak se to projevuje? Jak se toho ev. zbavim?
> Existuje nejaky rozumny free (nebo tak
> do 300,- na singl PC) antivir na emajly?
> Zrejme toho budu mit za potrebi.
>
> Diky
> Pavel Krejci


info....

I-Worm/MTX
==========

Virus, worm, backdoor trojan a to vše v jednom balíčku. Roztomilé.

Při svém rozesílání mailem používá tyto názvy připojených souborů:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
aMe_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Posílá se jako normální EXE soubor a využívá toho, že EXE soubory
s příponou PIF Windows na double click spustí. SCR je přípona
screen saveru, který je také normálně spustitelné EXE.

Po spuštení na napadeném počítači vytvoří v adresáři Windows
soubory MTX_.EXE, IE_PACK.EXE a WIN32.DLL a pod názvem WSOCK32.MTX
si vyrobí upravenou kopii WSOCK32.DLL a naplánuje její
přejmenování na WSOCK32.DLL při příštím startu počítače:

  [Rename]
  NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
  C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\WSOCK32.MTX

MTX_.EXE si zaregistruje pro spuštění v

  HKLM\Software\Microsoft\Windows\Current\Version\Run\

jako

  SystemBackup=C:\WINDOWS\MTX_.EXE

Kromě toho ješte do registry vloží klíč

  HKLM\Software\[MATRiX]

Napadá další soubory docela nehezkým způsobem - nemění vlastní
entry point programu.

Pro odstranění je potřeba vymazat z registry klíč

  HKLM\Software\Microsoft\Windows\Current\Version\Run\SystemBackup

restartovat v DOSovém režimu a smazat infikované soubory a virem
vytvořené MTX_.EXE, IE_PACK.EXE a WIN32.DLL.


Já používám antivir Inoculate z http://antivirus.cai.com/ Původně jsem
ho našel na nějakém CD z časopisu Chip, a nějak se mi zalíbil, a
stáhnul jsem si novou verzi z uvedené URL. Šlape docela schopně.
Poštou už mi přišlo několik virů, a všechny zatím odhalil.

Ales Filip    <afilip@gmx.net>
Kutna Hora    <FIDO 2:423/87>
  http://afilip.kgb.cz












Daląí informace o konferenci Hw-list