> > Dotaz : Uz jste někdo videl nejakej vir, který se umi zapakovat?? > > Nevidel jsem ho, ale cwetl jsem o nem. Netusim jak se jmenuje ale do > odesilanych archivu (zip nebo rar) pribali sam sebe (do toho archivu) a > pojmenuje se setup.exe. > > Vic info nemam, jen jsem to nekde cetl. > > -pp21- Zajimavy je popis jednoho z mutaci viru v subj.: I-Worm/Klez.H & W32/ElKern Varianta I-Worm/Klez.H se siri e-mailem s jednou nebo dvema prilohami. Prvni priloha je vlastni virus, druha priloha muze byt nahodne vybrany dokument z napadeneho pocitace. Worm vyuziva bezpecnostni diru (IFRAME exploit), diky ktere se muze na nekterych systemech aktivovat pri pouhem prohlednuti infikovane zpravy. Infikovana zprava ma "Subject:" vybrany z nasledujiciho seznamu: Hi, Hello, Re: Fw: Undeliverable mail--"%s" Returned mail--"%s" a %s %s game a %s %s tool a %s %s website a %s %s patch %s removal tools How are you let's be friends darling so cool a flash,enjoy it your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice questionnaire congratulations sos! japanese girlVS playboy look,my beautiful girl friend eager to see you spice girls' vocal concert japanese lass' sexy pictures kde misto znaku %s je pouzito nektere z techto slov: new funny nice humour excite good powful WinXP IE 6.0 W32.Elkern W32.Klez.E Telo zpravy je sestaveno z pomerne velke databaze textu (anglickych). Kuriozni variantou, jak se worm prezentuje, je nasledujici text mailu, ve kterem se nabizi jako nastroj na odstraneni sveho predchudce I-Worm/Klez.E: Worm Klez.E immunity Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV so ftware can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monit or maybe cry when you run it. If so,Ignore the warning,and select 'continue'. Po aktivaci se worm, podobne jako predchozi verze, zkopiruje do systemoveho adresare Windows a zajisti sve spusteni pomoci klicu v registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\System\CurrentControlSet\Services Dale se worm rozesle na adresy obsazene ve Windows Address Booku, pricemz zfalsuje jmeno odesilatele nahodne vybranou adresou. Na rozdil od svych predchudcu virus neobsahuje kod pro prepisovani souboru. Misto toho je schopen nahrazovat nektere .EXE programy sam sebou, pricemz puvodni obsah souboru je ulozen v zakodovane podobe v souboru se stejnym jmenem, ale nahodnou priponou a s nastavenymi atributy: skryty, systemovy soubor. Worm se dokaze vkladat do archivu typu .RAR a sirit se po lokalni siti pomoci otevrenych sdileni disku. Worm se pokousi aktivne narusit antivirovou kontrolu tim, ze vyhledava a ukoncuje nasledujici bezici procesy: _AVP32 NAVLU32 NAVWNT SWEEP95 _AVPCC NAVRUNR ANTIVIR PCCWIN98 NOD32 NAVW32 AVPUPD IOMON98 NPSSVC _AVPM AVGCTRL AVPTC NRESQ32 ALERTSVC AVWIN95 AVE32 NSCHED32 AMON SCAN32 AVCONSOL NSCHEDNT AVP32 VSHWIN32 FP-WIN NSPLUGIN AVPCC F-STOPW DVP95 NAV AVPM F-PROT95 F-AGNT95 NAVAPSVC N32SCANW ACKWIN32 CLAW95 NAVAPW32 VET95 VETTRAY NVC95 a maze tyto antivirove databaze: ANTI-VIR.DAT CHKLIST.DAT CHKLIST.MS CHKLIST.CPS CHKLIST.TAV IVB.NTZ SMARTCHK.MS SMARTCHK.CPS AVGQT.DAT AGUARD.DAT Krome vlastni cinnosti worm vypousti do napadeneho pocitace novou variantu viru W32/ElKern. W32/ElKern je asi 4 KB velky polymorfni virus, ktery po aktivaci prochazi vsechny spustitelne soubory na vsech discich a vhodne obeti infikuje. Varianta sirena spolecne s wormem I-Worm/Klez.H je vybavena mechanismem, ktery umoznuje viru prekodovat casti vlastniho tela po kazdem spusteni a oproti predchozim verzim neobsahuje zadnou destrukcni cinnost. Petr
This archive was generated by hypermail 2.1.2 : 11. 05. 2002, 10:46 CEST