Newsy: Wirusy
Czyli co nas "gryzło" w ostatnim miesiącu.
Poniżej zamieszczam wykaz najgroźniejszych i najbardziej dokuczliwych wirusów, jakie w ostatnim miesiącu dawały nam się we znaki. Zapewne większość z nich nadal grasuje w sieci, więc strzeżcie się ich i niech moc programów antywirusowych czuwa nad waszymi komputerami :)
W dziale Software, w artykule Nowe programy, wśród wielu nowych pozycji softu znajdziecie również kilka "szczepionek" na niżej opisane paskudztwo.
Fałszywy alarm - Biblia Zakonnikow
Fałszywe alarmy to listy elektroniczne, pisane głównie przez różnej maści dowcipnisiów, ostrzegające przed pojawieniem się rzekomych nowych, bardzo groźnych wirusów. Tego typu listy wywołują zwykle zamieszanie i generują niepotrzebny ruch w sieci, gdy użytkownicy starają się rozesłać to "ostrzeżenie" do wszystkich znajomych. Prosimy o nie przekazywanie tego typu listów dalej - o to właśnie chodzi ich autorom-dowcipnisiom.
W przeciagu najblizszych tygodni badzcie ostrozni i uwazni by nie
otworzyc "Biblii Zakonnikow", niezaleznie od tego od kogo ja
otrzymacie. PROSZE PRZEKAZCIE TA WIADOMOSC SWOIM NAJBLIZSZYM I
ZNAJOMYM. Lepiej otrzymac ta wiadomosc 25 razy, niz nie otrzymac
w ogole.
Nie otwierajcie wiadomosci zatytulowanej "Biblia Zakonnikow".
To jest wirus ktory moze skasowac cala zawartosc dysku C.
Otrzymuje sie go jako wiadomosc e-mail od osoby znanej z
ksiazki adresowej, zatytulowany "Biblia Zakonnikow".
Netsky.? [?=mutacje C-Q]
Robak internetowy, którego działanie polega na rozprzestrzenianiu się
za pomocą poczty elektronicznej oraz poprzez programy do wymiany
plików w Internecie.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do
listu elektronicznego o następujących parametrach:
Od: [fałszywy adres]
Temat: [jeden z poniższych]
Delivery Failed
Status
report
question
trust me
hey
Re: excuse me
read it immediatelly
hi
Re: does it?
Yep
important
hello
dear
Re: unknown
fake?
warning
moin
what's up?
info
Re: information
Here is it
stolen
private?
good morning
illegal...
error
take it
re:
Re: Re: Re: Re:
you?
something for you
exception
Re: hey
excuse me
Re: hi
Re: does it?
Re: important
Re: hello
believe me
Question
denied!
notification
lol
last chance!
I'm back!
its me
notice!
Treść: [losowo stworzona z poniższych słów]
what means that?
help attached
ok...
that is interesting...
i wait for your comment about it.
such as yours?
read the details.
gonna?
here is the document.
*lol*
read it immediately!
i found that about you!
your hero in the picture?
yours?
here is it.
illegal st. of you?
is that true?
account?
is that your name?
picture?
message?
is that your account?
pwd?
I wait for an answer!
abuse?
is that yours?
you are a bad writer
I don't know your document!
I have your password!
you won the rk!
something about you!
classroom test of you?
kill the writer of this document!
old photos about you?
i hope thats not true!
your name is wrong!
does it match?
i found this document about you.
time to fear?
really?
do you know this????
i know your document!
did you sent it to me?
this file is bad!
why should I?
pages?
her.
another pic, have fun! ... :->
test it
child porn?
greetings
xxx ?
stuff about you?
your document is not good
something is going wrong!
your photo is poor
information about you?
the information is wrong!
doc about me?
kill him on the picture!
from the chatter (my photo!)
from your lover ;-)
love letter?
here, the serials
are you a teacherin the picture?
here, the introduction
is that criminal?
here, the cheats
i like your doc!
what do you think about it?
that's a funny text.
that's not the truth?
do you have?
instruct me about this!
i lost that
i am speachless about your document!
is that the reality?
reply
msg
your design is not good!
important?
your TAN number?
take it easy!
why?
you are naked in this document!
thats wrong!
your icq number?
i am desperate
modifications?
your personal record?
yes.
misc. and so on. see you!
your attachment? verify it.
you earn money, see the attachment!
is that your attachment?
is that your website?
you feel the same.
meaning of that?
possible?
you have tried to steal!
did you ask me for that?
you are bad
your job? (I found that!)
is that possible?
something is going ...
something is not ok
did you know from this document?
wrong calculation! (see the attachment!...
never!
poor quality!
good work!
excellent!
great!
i don't think so.
pretty pic about you?
docs?
schoolfriend?
only encrypted!
personal message!
my advice....
i've found it about you
>
great xxx!
man or women?
child or adult?
here is yours!
a crazy doc about you
xxx about you?
i don't want your xxx pics!
doc?
trial?
what?
;-)
i need you!
correct it!
see this!
it's a secret!
this is nothing for kids!
it's so similar as yours!
is that your car?
do not give up!
great job!
here is the %%454
you are sexy in this doc!
incest?
let it!
you look like an ape!
you look like an rat?
be mad?
are you cranky?
bob the builder
did you know that?
money?
is that your car?
is this information about you?
is that your privacy?
is that your TAN?
is that your message?
is that your cd?
is that your finger?
your are naked?
is that your porn pic?
is that your work?
is that your family?
is that your beast?
is that your account?
is that your slip?
is that your domain?
are you the naked one?
are you the naked person!
are you the one?
does it belong to you?
do you have sex in the picture?
you have a sexy body in the pic!
your lie is going around the world!
lets talk about it!
do you know the thief?
are you a photographer?
you have done a mistake in the document...
its private from me
do not show this anyone!
new patch is available!
this is an attachment message!
in your mind?
Microsoft
fast food...
Your bill.
try this patch!
do you have an orgasm in the picture?
Transaction failed. Show the doc!
I 've found your bill!
see your name!
You are infected. Read the details!
here is my advice.
here is my photo!
here is the
feel free to use it.
does it belong to you?
Login required! Read the attachment!
your document is silly!
is the pic a fake?
Antispam is turned off. See file!
Authentification required. Read the att...
solve the problem!
do not use my document!
do not open the attachment!
do not visit the pages on the list I se...
explain!
tell me more about your document!
Your provider will be disabled!
Instant patches.
Załącznik:
[losowa nazwa jedna z poniższych].
[txt, rtf, doc, htm].
[com, exe, pif, scr, zip]
document
associal
msg
yours
doc
wife
talk
message
response
creditcard
description
details
attachment
pic
me
trash
card
stuff
poster
posting
portmoney
textfile
moonlight
concert
sexy
information
news
note
number_phone
bill
mydate
swimmingpool
class_photos
product
old_photos
topseller
ps
important
shower
myaunt
aboutyou
yours
nomoney
birth
found
death
story
worker
mails
letter
more
website
regards
regid
friend
unfolds
jokes
doc_ang
your_stuff
location
454543403
final
schock
release
webcam
dinner
intimate stuff
sexual
ranking
object
secrets
mail2
attach2
part2
msg2
disco
freaky
visa
party
material
misc
nothing
transfer
auction
warez
undefinied
violence
update
masturbation
injection
naked1
naked2
tear
music
paypal
id
privacy
word_doc
image
incest
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na
dysku swoją kopię w pliku o nazwie c:\windows\winlogon.exe lub
c:\winnt\winlogon.exe oraz modyfikuje tak rejestr by jego kopia była
automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak usuwa z rejestru z klucza
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wpisy o nazwach Taskmon, Explorer, Windows Services Host, KasperskyAV, System.
Robak tworzy na dysku także szereg swoich kopii w skompresowanych
archiwach zip, w plikach o nazwach takich jak możliwe nazwy załącznika
powyżej z dodanym rozszerzeniem zip.
Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej
do wszystkich adresatów odnalezionych w plikach z rozszerzeniami: eml,
txt, php, pl, htm, html, vbs, rtf, uin, asp, wab, doc, adb, tbb, dbx,
sht, oft, msg, shtm, cgi, dhtm, używając do tego własnego silnika
SMTP.
Na koniec robak tworzy swoje kopie we wszystkich katalogach
zawierających w swojej nazwie ciąg Share (zwykle będących
udostępnionymi katalogami w programach do wymiany plików w Internecie)
w plikach o następujących nazwach:
Microsoft WinXP Crack.exe
Teen Porn 16.jpg.pif
Adobe Premiere 9.exe
Adobe Photoshop 9 full.exe
Best Matrix Screensaver.scr
Porno Screensaver.scr
Dark Angels.pif
XXX hardcore pic.jpg.exe
Microsoft Office 2003 Crack.exe
Serials.txt.exe
Screensaver.scr
Full album.mp3.pif
Ahead Nero 7.exe
Virii Sourcecode.scr
E-Book Archive.rtf.exe
Doom 3 Beta.exe
How to hack.doc.exe
Learn Programming.doc.exe
WinXP eBook.doc.exe
Win Longhorn Beta.exe
Dictionary English - France.doc.exe
RFC Basics Full Edition.doc.exe
1000 Sex and more.rtf.exe
3D Studio Max 3dsmax.exe
Keygen 4 all appz.exe
Windows Sourcecode.doc.exe
Norton Antivirus 2004.exe
Gimp 1.5 Full with Key.exe
Partitionsmagic 9.0.exe
Star Office 8.exe
Magix Video Deluxe 4.exe
Clone DVD 5.exe
MS Service Pack 5.exe
ACDSee 9.exe
Visual Studio Net Crack.exe
Cracks & Warez Archive.exe
WinAmp 12 full.exe
DivX 7.0 final.exe
Opera.exe
IE58.1 full setup.exe
Smashing the stack.rtf.exe
Ulead Keygen.exe
Lightwave SE Update.exe
The Sims 3 crack.exe
26 lutego 2004 robak pomiędzy 6 i 8 godziną rano uruchamia ciągłe
piszczenie głośnika komputera.
Beagle.? [?=mutacje C-S]
Robak internetowy, którego działanie polega na rozsyłaniu własnych
kopii za pomocą poczty elektronicznej.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do
listu elektronicznego o następujących parametrach:
Od: [fałszywy adres]
Temat: [jeden z poniższych]
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he
Treść: [pusta]
Załącznik: [losowe znaki].zip
W adres nadawcy robak wstawia losowy adres email odnaleziony na
zarażonym komputerze, zatem osoba pojawiająca się jako nadawca listu z
robakiem nie jest jego prawdziwym nadawcą.
Po uruchomieniu przez użytkownika pliku robaka tworzy on na dysku
swoją kopię w pliku readme.exe oraz modyfikuje tak rejestr by jego
kopia była automatycznie uruchamiana przy każdym starcie systemu
Windows. Dodatkowo robak tworzy na dysku następujące pliki onde.exe,
doc.exe, readme.exeopen.
Robak stara się wyłączyć procesy programów do aktualizacji baz
wirusowych popularnych programów antywirusowych (moduł mks_update nie
jest wyłączany) o następujących nazwach:
atupdater.exe
avwupd32.exe
avpupd.exe
luall.exe
drwebupw.exe
icssuppnt.exe
icsupp95.exe
update.exe
nupgrade.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avxquar.exe
cfiaudit.exe
mcupdate.exe
nupgrade.exe
outpost.exe
avltmain.exe
Dodatkowo robak pozwala na przejęcie kontroli nad zainfekowanym
komputerem poprzez sieć nasłuchując na komendy na porcie 2745.
Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej ,
wykorzystując do tego własny silnik SMTP, na adresy odnalezione na
zainfekowanym komputerze, w plikach o rozszerzeniach wab, txt, htm,
html, dbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, adb, sht.
Sober.D / Sober.F
Sober.D jest robakiem internetowym, którego działanie polega na
rozsyłaniu własnych kopii za pomocą poczty elektronicznej w listach
sugerujących, że jest to łata z firmy Microsoft, zabezpieczająca
system Windows.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do
listu elektronicznego o następujących parametrach:
Od: [poniższy fragment]@microsoft.[de, at, com]
Info
Center
UpDate
News
Help
Studio
Alert
Patch
Security
Temat: [jeden po niższych]
Microsoft Alert: Please Read! Message-ID:
Microsoft Alarm: Bitte Lesen! Message-ID:
Treść:
New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg)
worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims
that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously
released patches.
+++ C2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19
lub
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit
rasend schnell im Internet.
Wie seine Vorgänger verschickt sich der Wurm von infizierten
Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen
gefährlichen Trojaner!
Führende Virenspezialisten melden bereis ein vermehrtes
Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor
diesem Schädling zu schützen!
+++ C2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
Załącznik: [losowe nazwy]
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na
dysku następujące pliki: temp32x.data, wintmpx33.dat, mslog32.dll,
Humgly.lkur, yfjq.yqwm, zmndpgwf.kxx, a także swoją kopię w pliku z
losową nazwą oraz modyfikuje tak rejestr by jego kopia była
automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak wyświetla okienko dialogowe z następującymi komunikatami:
This patch has been successfully installed.
This patch does not need to be installed on this system.
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej
do adresatów odnalezionych w plikach o następujących rozszerzeniach,
wykorzystując do tego własny silnik SMTP: abd, adb, asp, dbx, doc,
eml, ini, log, mdb, php, pl, rtf, shtml, tbb, ttt, txt, wab, xls.
Beagle.S / Beagle.T
Robak internetowy, którego działanie polega na rozsyłaniu własnych
kopii za pomocą poczty elektronicznej oraz poprzez programy do wymiany
plików w Internecie.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do
listu elektronicznego o następujących parametrach:
Od: [fałszywy adres]
management@[domena adresata]
administration@[domena adresata]
staff@[domena adresata]
noreply@[domena adresata]
support@[domena adresata]
Temat: [jeden z poniższych]
Account notify
E-mail account disabling warning.
E-mail account security warning.
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Email account utilization warning.
Email report
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
RE: Protected message
RE: Text message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account
W adres nadawcy robak wstawia losowy adres email odnaleziony na
zarażonym komputerze, zatem osoba pojawiająca się jako nadawca listu z
robakiem nie jest jego prawdziwym nadawcą.
Treść wiadomości wydaje się być pusta, jednak znajduje się w niej kod
HTML, pobierający z Internetu kopię robaka w czasie przeglądania listu
w Outlooku. Możliwe jest to w niezabezpieczonych programach Outlook,
na podstawie błędu opisanego pod adresem:
http://www.microsoft.com/technet/security/bulletin/MS03-032.mspx
Robak tworzy na dysku swoją kopię w pliku direct.exe oraz modyfikuje
tak rejestr by jego kopia była automatycznie uruchamiana przy każdym
starcie systemu Windows.
Robak stara się wyłączyć rezydentne monitory programów antywirusowych
i firewalli (monitor mks_vir nie jest wyłączany) o następujących
nazwach:
agentsvr.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
atcon.exe
atguard.exe
atro55en.exe
atupdater.exe
atwatch.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avgserv9.exe
avltmain.exe
avpupd.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
avprotect9x.exe
au.exe
bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe
bipcpevalsetup.exe
bisp.exe
blackd.exe
blackice.exe
bootwarn.exe
borg2.exe
bs120.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cmgrdian.exe
cmon016.exe
cpd.exe
cpf9x206.exe
cpfnt206.exe
cv.exe
cwnb181.exe
cwntdwmo.exe
d3dupdate.exe
defwatch.exe
deputy.exe
dpf.exe
dpfsetup.exe
drwatson.exe
drwebupw.exe
ent.exe
escanh95.exe
escanhnt.exe
escanv95.exe
exantivirus-cnet.exe
fast.exe
firewall.exe
flowprotector.exe
fp-win_trial.exe
frw.exe
fsav.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
gbmenu.exe
gbpoll.exe
guard.exe
hacktracersetup.exe
htlog.exe
hwpe.exe
iamapp.exe
iamserv.exe
icload95.exe
icloadnt.exe
icmon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
ifw2000.exe
iparmor.exe
iris.exe
jammer.exe
kavlite40eng.exe
kavpers40eng.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
killprocesssetup161.exe
ldpro.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lsetup.exe
luall.exe
lucomserver.exe
luinit.exe
mcagent.exe
mcupdate.exe
mfw2en.exe
mfweng3.02d30.exe
mgui.exe
minilog.exe
moolive.exe
mrflux.exe
msconfig.exe
msinfo32.exe
mssmmc32.exe
mu0311ad.exe
nav80try.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
netarmor.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
nisserv.exe
nisum.exe
nmain.exe
norton_internet_secu_3.0_407.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nprotect.exe
nsched32.exe
ntvdm.exe
nupgrade.exe
nvarch16.exe
nwinst4.exe
nwtool16.exe
ostronet.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
padmin.exe
panixk.exe
pavproxy.exe
pcc2002s902.exe
pcc2k_76_1436.exe
pcciomon.exe
pcdsetup.exe
pcfwallicon.exe
pcip10117_0.exe
pdsetup.exe
periscope.exe
persfw.exe
pf2.exe
pfwadmin.exe
pingscan.exe
platin.exe
poproxy.exe
popscan.exe
portdetective.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
procexplorerv1.0.exe
proport.exe
protectx.exe
pspf.exe
purge.exe
pview95.exe
qconsole.exe
qserver.exe
rav8win32eng.exe
regedit.exe
regedt32.exe
rescue.exe
rescue32.exe
rrguard.exe
rshell.exe
rtvscn95.exe
rulaunch.exe
safeweb.exe
sbserv.exe
sd.exe
setupvameeval.exe
setup_flowprotector_us.exe
sfc.exe
sgssfw32.exe
sh.exe
shellspyinstall.exe
shn.exe
smc.exe
sofi.exe
spf.exe
sphinx.exe
spyxx.exe
ss3edit.exe
st2.exe
supftrl.exe
supporter5.exe
symproxysvc.exe
sysedit.exe
taskmon.exe
taumon.exe
tauscan.exe
tc.exe
tca.exe
tcm.exe
tds-3.exe
tds2-98.exe
tds2-nt.exe
tfak5.exe
tgbob.exe
titanin.exe
titaninxp.exe
tracert.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
undoboot.exe
update.exe
vbcmserv.exe
vbcons.exe
vbust.exe
vbwin9x.exe
vbwinntw.exe
vcsetup.exe
vfsetup.exe
virusmdpersonalfirewall.exe
vnlan300.exe
vnpc3000.exe
vpc42.exe
vpfw30s.exe
vptray.exe
vscenu6.02d30.exe
vsecomr.exe
vshwin32.exe
vsisetup.exe
vsmain.exe
vsmon.exe
vsstat.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
w32dsm89.exe
w9x.exe
watchdog.exe
webscanx.exe
wgfe95.exe
whoswatchingme.exe
winrecon.exe
wnt.exe
wradmin.exe
wrctrl.exe
wsbgate.exe
wyvernworksfirewall.exe
xpf202en.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zauinst.exe
zonalm2601.exe
zonealarm.exe
Dodatkowo robak pozwala na przejęcie kontroli nad zainfekowanym
komputerem poprzez sieć nasłuchując na komendy na porcie 2556.
Robak rozsyła własne kopie za pomocą poczty elektronicznej,
wykorzystując do tego własny silnik SMTP, na adresy odnalezione na
zainfekowanym komputerze, w plikach o rozszerzeniach adb, asp, cfg,
cgi, dbx, dhtm, eml, htm, jsp, mbx, mdx, mht, mmf, msg, nch, ods, oft,
php, pl, sht, shtm, stm, tbb, txt, uin, wab, wsh, xls, xml.
Na koniec robak tworzy swoje kopie w katalogach zawierających w nazwie
ciąg shar, starając się w ten sposób stworzyć swoje kopie w katalogach
współdzielonych programów do wymiany plików w Internecie. Kopie te
mają następujące nazwy:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Cone.F
Również znany jako: Worm.Cone.F
Cone.F jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Od: [fałszywy adres]
Temat: [jeden z poniższych]
W32.Mydoom.H in your mail
Your computer is probably infected by W32.Mydoom.H
Norton Antivirus detected W32.Mydoom.H in your mail
Large amount of W32.Mydoom.H outgoing from your email
Virus detected in your mail
Your computer is infected by W32.Mydoom.H
Your computer is probably infected
Your message was infected by Mydoom
I found a virus in your message
I recieved a message from you containing Mydoom
Mydoom.H in attachment of your message
Treść: [jedna z poniższych]
Hi,
The attachment is a virus.
I write it to say: we don't want Islamic Republic
in IRAN! I'm realy realy sorry, I'm damaging
the computers that I don't want to damage!!!!
I choose to help a nation to be free with cost
of some computer infections!!!
Do you choose this if you must choose one?
all of the other ways closed, no one listen to us!!!!
please support me, open the virus and let it spread,
it does not have any damage, just your internet
connection may become some slow!
for more info search "W32.Cone.E".
Dear users of [nazwa domeny],
Our antivirus software has detected a large amount
of viruses outgoing from your email account ([nazwa domeny]),
you may use our removal instruction to clean up your
computer software.
Dear users of [nazwa domeny],
Norton Antivirus has detected about [losowy numer] e-mail(s) infected
by W32.Mydoom.H outgoing from your mail account([nazwa domeny]).
W32.Mydoom.H is a category 4 virus and Norton Antivirus 2004
is updated automatically for removal instructions of cat 4 and
5 viruses, and then send them for infected computers to prevent
more infections.
your computer is infected by mydoom.H,
because i recieved more than 20 messages containing mydoom.H
from you i attached help file of removal instructions
of this virus, please cleanup your computer, before connecting
to internet!
hey, i'm tired of deleting emails infected by Mydoom.H from you,
i attached the symantec removal instructions help file for Mydoom.H
please cleanup your computer, or do not connect to internet.
cleanup your computer, i have recieved more than 20 message infected
by Mydoom.H from you, i attached the symantec removal instructions
help file for W32.Mydoom.H
hi,
i have recieved an email from you infected by W32.Mydoom.H,
the attached file is a help file (.chm) containing removal instructions
of Mydoom.H, i have downloaded it from www.symantec.com.
to check to see if your computer has been infected by Mydoom.H refer
to "Check for presence of W32.Mydoom.H" in the help file.
best wishes,
Załącznik: [8 losowych znaków].[exe, zip, chm]
Po uruchomieniu przez użytkownika pliku załącznika tworzy on na dysku swoją kopię w pliku c:\windows\tasks\svchost.exe lub c:\winnnt\tasks\svchost.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Dodatkowo robak tworzy na dysku następujące pliki: 01chm.dll, svchost.exe, 02seml.dll, 02eml.dll, 02url.dll, 02vis.dll, 02http.dll oraz dodaje plik WebCheck.pif do katalogu Autostartu.
Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w plikach o następujących rozszerzeniach, korzystając z własnego silnika SMTP: mbx, wab, html, eml, htm, asp, shtml, txt, dbx.
Jeżeli na komputerze jest zainstalowany program do wymiany plików KaZaA to tworzy on w katalogu współdzielonym tego programu swoje kopie w plikach:
Hacking Exposed Network Security Secrets-chapt[losowy numer].chm
401 guitar tabs.chm
How_to_crack_Win_XP_activation.chm
Credit card numbers.chm
adult check passwords.chm
(ebook chm) Teach Yourself C++ In 14 Days.chm
eBook-OReilly-Learning the UNIX Operating System.chm
Hacker's Guide.chm
Dodatkowo robak posiada właściwości wirusa infekując pliki wykonywalne
z rozszerzeniem exe odnalezione na dysku.
Oprócz wymienionego pskudztwa, gryzły nas w du... przepraszam - w PeCety kolejne mutacje innych wirusów :(
Źródła:
Dr.WEB , MKS-Vir, PCWK-OnLine
Zebrał i opracował:
Dariusz Frankowski
|