Documente online.
Zona de administrare documente. Fisierele tale
Am uitat parola x Creaza cont nou
 HomeExploreaza
upload
Upload




VIRUS

Italiana


VIRUS

WORM_BIZEX.A



Alias:

Worm
Pericolosità: Bassa
Sistemi operativi interessati: Windows 95, 98, ME, NT, 2000, e XP
Data scoperta: 2004-03-24

a cura dello staff di
www.alground.com


Questo worm si distribuisce attraverso un link inviato attraverso ICQ. Questo link porta l'utente verso un sito web con codice maligno che cerca di scaricare diversi file dannosi da eseguire sul sistema. il link è simile a questo:
https://www.jokew<BLOCKE 13113j911n D>ld.biz/index.html

Ha due sezioni principali d'uso:

Per prima cosa scarica ed esegue il file MEINE.SCM che viene visto da Icq come un file wav, audio, che contiene il suono STARTUP.WAV

Quindi cerca di exploitare la vulnerabilità Internet Explorer ShowHelp consultabile al sito Microsoft advisory.
Questo esegue un altro file fatto come i CHM (help) file di windows, ma che lancia invece altro codice maligno il file IEFUCKER.HTML Il contenuto del file html eseguito non è ncora ben chiaro comunque scarica e copi nelle seguenti path il file WINUPDATE.EXE:

# C:Documents and SettingsAll UsersStart MenuProgramsStartup
(in Windows 2000 e XP)
# C:windowsStart MenuProgramsStartup
(in Windows 98)

Sempre lo stesso file binario scarica e registra UPDATER.EXE nella directory temporanea di windows come APTGETUPD.EXE.
Subito dopo crea la directory Sysmon nella cartella System quando viene lanciato il file copia se stesso nella directory appena creata come SYSMON.EXE. Quindi nasconde la directory in modo da non poterla vedere con l'Esplora Risorse ne con la Ricerca.

Per potersi avviare automaticamente ad ogni accensione del sistema il worm crea le seguenti chiavi nel registro:

HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersion
sysmon

HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionRun
sysmon = "%System%sysmonsysmon.exe"


Quindi inserisce diversi file .dll (librerie windows) per poterle utilizzare per l'attività di keylogger. In pratica utlizza il sistema di catturare ciò che l'utente scrive con la tastirea per poter trovare facilmente file particolari, password e nomi utente.

Il file sono:
# JAVA32.DLL
# JAVAEXT.DLL
Il primo dei due file inia la sua attività solamente quando si apre una sessione https (cioè quando si inizia a criptare i dati tra il client e il server, ad esempio quando si usa una banca on line o altro)
Però seleziona i siti e registra solo quando i siti con cui si sta lavorando contengono i seguenti nomi:
# login.yahoo.com
# .passport.
Copia tutto quanto viene scrittoin un file nominato ~POST.LOG nella directory prima creata e nascosta.

L'altro file .dll salva i sui dati invece in un file chiamato ~KEY.LOG

Il worm copia e sostituisce i seguenti file:
# ICQ2003Decrypt.dll
# icq_socket.dll

E' un worm compresso con PECompact.

Scheda di: Al


Oltre alla rimozione automatica con i fix e sysclean vediamo quella manuale.

Per prima cosa bisogna terminare (chiudere) il programma worm.
Aprite il Task manager con i tasti Ctrl+Alt+Canc o CTRL+SHIFT+ESC a seconda del sistema che usate.
Quindi cliccate sulla scheda dei servizi attivi e cercate il servizio sysmon cliccate una volta sul nome e scegliete il bottone per terminare il programma immediatamente. Per vedere se vete terminato il programma chiudete il Task manager e poi riapritelo, se non c'è più nella lista richiudete il Task manager.

Attenzione: in alcuni sistemi non tutti i processi sono visualizzati, se non lo trovate dovete usare un process viewer di terze parti.

Ora rimuoviamo le chiavi nel registro per non far riaprire il processo al riavvio del sistema.
Cliccate su Start>Esegui e scrivete regedit, quindi schiacciate Enter, si aprirà il visualizzatore del registro.

Nella parte sinistra cercate la chiave:
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
a destra cercate il valore Sysmon e cancellatelo.
Cercate ora:
HKEY_CURRENT_USER> Software> Microsoft> Windows> CurrentVersion>Run
trovate ora nella parte destra il valore:
"%System%sysmonsysmon.exe" e cancellatelo. La scritta %system% nel computer viene sostituita con la path completa di solito:
C:WindowsSystem in Windows 95, 98, e ME, C:WINNTSystem32 in Windows NT and 2000, o C:WindowsSystem32 in Windows XP.

Chiudete il regedit e scansionate il sistema con un antivirus on line o con il vostro aggiornato.

Il file del virus di solito è di 86,528 Bytes.


Document Info


Accesari: 1348
Apreciat: hand-up

Comenteaza documentul:

Nu esti inregistrat
Trebuie sa fii utilizator inregistrat pentru a putea comenta


Creaza cont nou

A fost util?

Daca documentul a fost util si crezi ca merita
sa adaugi un link catre el la tine in site


in pagina web a site-ului tau.




eCoduri.com - coduri postale, contabile, CAEN sau bancare

Politica de confidentialitate | Termenii si conditii de utilizare




Copyright © Contact (SCRIGROUP Int. 2024 )