-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ahojky nechcem strasit ale toto doslo vcera od grisoftu > > VBS/NewLove > =========== > > Dalsi virus se schopnosti masivniho rozesilani se > elektronickou postou (opet inspirovany nedavanym radenim > VBS/Iloveyou). > > Posila se ve zpravach s prazdnym obsahem a s predmetem > FW: [NAME].[EXT] > > Ke kterym pripojuje soubor > [NAME].[EXT].Vbs > > Jmeno NAME si nahodne vybere ze jmen souboru ulozenych ve > vasem adresari '\Recent' (to jsou odkazy na dokumenty > nabizene v Start -> Documents) a tim zvysuje pravdepodobnost, > ze jmeno se nebude zdat prijemci podezrele. > > Pokud je vas adresar '\Recent' prazdny, tak VBS/NewLove > vygeneruje jmeno nahodne. Pokud takovy adresar na vasem disku > neexistuje (nebo je nekde jinde, nez ho virus ocekava > - napriklad pokud pouzivate Windows NT) tak je vygenerovane > prazdne jmeno. V takovem pripade bude predmet zpravy vypadat > napriklad takto: "RE: .Doc" a bude pripojen soubor ".Doc.Vbs". > > Priponu EXT si nahodne vybere z tohoto seznamu: > .Doc .Xls .Mdb .Bmp .Mp3 .Txt > .Jpg .Gif .Mov .Url .Htm .Txt > > Poznamka: dvoji uvedeni .Txt neni chyba - tak opravdu vypada > tabulka v kodu viru. Nema to ovsem zadny prakticky smysl > (krome zvyseni pravdepodobnosti vyberu teto pripony). > > Virus je castecne polymorfni. Pred kazdy radek vklada nahodny > pocet mezer a radky proklada nahodne vygenerovanymi komantari, > ktere obsahuji pouze velka pismena bez jakychkoli oddelovacu. > > Tato cast neni chytre vymyslena a vede k vytvareni prilis > velkych souboru. > > Pokud po prijeti mailu spustite prilozeny soubor, tak virus > umisti svou kopii (pod nahodne vygenerovanym jmenem) do > sdresaru Windows a Windows\System a odkazy na ni zapise do > polozek "Run" a "RunServices" klice > HKLM\Software\Microsoft\Windows\CurrentVersion > > Destrukcni akce je velmi neprijemna - virus prohledava vsechny > adresare vsech disku a vsechny soubory nahradi svou kopii, > ktera ma puvodni jmeno souboru doplnene o priponu ".Vbs". > > Petr_FPL Odehnal > > P.S. > Rozsahla destrukce, obludne velky pripojeny soubor a velka > pozornost venovana pred 14 dny puvodnimu VBS/Iloveyou - to jsou > faktory ktere IMHO vyrazne snizuji sanci tohoto viru na opravdu > masivni rozsireni. Pokud vubec od nekoho realne dostanete mail > odeslany virem, tak mi prosim dejte vedet. Diky. > > > -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 6.5.2 for non-commercial use <http://www.pgp.com> iQA/AwUBOSgFakLb+1JlVdBdEQKFcwCeKTkf4A4BD7aHItHC3ZaMXg/+O1QAnjIA f3L/h6RSA/JAEz1hEwU2GeCF =pDda -----END PGP SIGNATURE-----
This archive was generated by hypermail 2.1.2 : 04. 09. 2001, 02:08 CEST