Win32/Swen.A (Gibe.E)

Jde o virus Üφ°φcφ se elektronickou poÜtou ve dvou r∙zn²ch podobßch.

  • V podob∞ oficißlnφho e-mailu od spoleΦnosti Microsoft vΦetn∞ obrßzk∙, nabßdajφcφ ke spuÜt∞nφ zßplaty v p°φloze (ve skuteΦnosti virus Win32/Swen.A).
  • V podob∞ zprßvy informujφcφ o nedoruΦitelnosti e-mailu. V tomto druhΘm p°φpad∞ je zneu₧ito bezpeΦnostnφ dφry popsanΘ v MS01-020, kterß se u nezßplatovan²ch verzφ Internet Exploreru (Outlook Expressu) postarß o automatickΘ spuÜt∞nφ infikovanΘ p°φlohy bez zßsahu u₧ivatele.

    Po spuÜt∞nφ infikovanΘ p°φlohy dojde k usazenφ viru v systΘmu. To celΘ je doprovßzeno dialogy, jako by Ülo o skuteΦnou bezpeΦnostnφ zßplatu...

    VypuÜt∞nΘ soubory majφ nßhodnΘ nßzvy, jedinou vyjφmkou jsou soubory swen1.dat (seznam SMTP a NNTP server∙) a germs0.dvb (zφskanΘ e-mailovΘ adresy z html, asp, eml, dbx, wab, mbx soubor∙), oba v adresß°i Windows.

    Polo₧ka v klφΦi HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run zajistφ vΦasnΘ spuÜt∞nφ viru p°i ka₧dΘm startu operaΦnφho systΘmu Windows.

    ┌pravou nßsledujφcφch polo₧ek registr∙

    [HKCR\exefile\shell\open\command]
    [HKCR\regfile\shell\open\command]
    [HKCR\scrfile\shell\open\command]
    [HKCR\piffile\shell\open\command]
    [HKCR\batfile\shell\open\command]
    [HKCR\scrfile\shell\config\command]

    si virus zajistφ, ₧e p°ed spuÜt∞nφm jakΘhokoliv EXE, REG, SCR, PIF, BAT nebo SCR souboru dojde ke spuÜt∞nφ viru a a₧ ten se postarß o spuÜt∞nφ p∙vodnφho ₧ßdanΘho souboru. VedlejÜφm efektem je, ₧e pokud bude nejprve odmazßn "°φdφcφ" soubor viru, nebude mo₧nΘ tΘm∞° nic spustit, jeliko₧ se bude operaΦnφ systΘm odkazovat na neexistujφcφ soubor.

    Virus se dokß₧e Üφ°it i prost°ednictvφm IRC sφt∞ a vyu₧φvß k tomu mIRC klienta. V tomto p°φpad∞ vypustφ vlastnφ SCRIPT.INI do adresß°e s mIRC a pak nabφzφ infikovan² soubor WinZip installer.zip vÜem u₧ivatel∙m, kte°φ jsou p°ihlßÜeni na stejnΘm kanßlu, jako sßm posti₧en² u₧ivatel.

    Nechybφ ani "podpora" Kazaa. Ve sdφlen²ch adresß°ich, kterΘ jsou urΦeny pro tuto obrovskou celosv∞tovou peer-to-peer sφ¥ vytvß°i ZIP nebo EXE infikovanΘ soubory s velice lßkav²mi nßzvy a Φekß, a₧ si je n∞jak² zv∞davec z druhΘho konce sv∞ta stßhne.

    V neposlednφ °ad∞ je tu mo₧nost Üφ°enφ p°es nevhodn∞ nasdφlenΘ sφ¥ovΘ disky. Pokud je nasdφlen pro zßpis cel² pevn² disk, pop°φpad∞ adresß° Windows (nebo Documents and Settings), sna₧φ se ulo₧it do slo₧ky Start menu\Programs\Startup a zajistit si tak spuÜt∞nφ po p°ihlßÜenφ dotyΦnΘho u₧ivatele do Windows (nabφdka "Po SpuÜt∞nφ").

    Virus "zabφjφ" nßsledujφcφ b∞₧φcφ procesy v operaΦnφ pam∞ti poΦφtaΦe. Pokud tedy nebyl v dob∞ infekce schopen antivirov² program tento virus detekovat, pak je pravd∞podobnΘ, ₧e ho nebude detekovat ani v budoucnu (°ada rezidentnφch Ütφt∙ antivirov²ch program∙ je "zabφjena" d°φve, ne₧ by dokßzaly cokoliv objevit).

    _avp ackwin32 anti-trojan aplica32 apvxdwin autodown avconsol ave32 avgcc32 avgctrl avgw avkserv avnt avp avsched32 avwin95 avwupd32 blackd blackice bootwarn ccapp ccshtdwn cfiadmin cfiaudit cfind cfinet claw95 dv95 ecengine efinet32 esafe espwatch f-agnt95 findviru fprot f-prot fprot95 f-prot95 fp-win frw f-stopw gibe iamapp iamserv ibmasn ibmavsp icload95 icloadnt icmon icmoon icssuppnt icsupp iface iomon98 jedi kpfw32 lockdown2000 lookout luall moolive mpftray msconfig nai_vs_stat navapw32 navlu32 navnt navsched navw nisum nmain normist nupdate nupgrade nvc95 outpost padmin pavcl pavsched pavw pcciomon pccmain pccwin98 pcfwallicon persfw pop3trap pview rav regedit rescue safeweb serv95 sphinx sweep tca tds2 vcleaner vcontrol vet32 vet95 vet98 vettray vscan vsecomr vshwin32 vsstat webtrap wfindv32 zapro zonealarm

    VÜe tohle je jen malß Φßst toho, co tento virus Win32/Swen.A dokß₧e :-)


    • Jedno·Φelov² antivirus:

    Win32/Swen.A (Gibe.E)
  • Popis/pou₧itφ: Z Windows.

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.