Win32/BadTrans.B

Jde o druhou, daleko ·sp∞Ün∞jÜφ variantu Φerva I-Worm/BadTrans.A. èφ°φ se jako soubor v p°φloze elektronickΘ poÜty. JmΘno souboru, ve kterΘm se I-Worm/BadTrans.B ukr²vß mß nßsledujφcφ tvar:

{A}.{pripona1}.{pripona2}

╚ßst oznaΦena jako {A} m∙₧e obsahovat:

Pics, images, README, New_Napster_Site, info, news_doc, HAMSTER, YOU_are_FAT!, stuff, SETUP, Card, Me_nude, Sorry_about_yesterday, docs, Humor, fun, SEARCHURL, S3MSONG

Prvnφ p°φpona m∙₧e obsahovat °etezce .DOC, .ZIP nebo .MP3 a druhß pak .SCR nebo .PIF. V n∞kter²ch p°φpadech nenφ rozhodujφcφ druhß p°φpona viditelnß, tak₧e to pak vypadß, ₧e nap°. dorazila neÜkodnß muzika ve formßtu MP3 :(

Subjekt "posti₧enΘho" e-mailu obsahuje obvykle pouze °etezec RE:. E-mailovΘ adresy "budoucφch ob∞tφ" zφskßva Φerv ze slo₧ky doruΦenΘ poÜty (prost°ednictvφm MAPI) - odpovφdß na dosud nep°eΦtenΘ e-maily, pop°. adresy vyhledßvß v souborech s p°φponou .HT* a .ASP.

Do infikovanΘho PC vypuÜtφ tyto soubory:

  • PROTOCOL.DLL - zabra≥uje rozeslßnφ Φerva vφcekrßt na stejnou e-mailovou adresu.
  • KERNEL32.EXE - t∞lo Φerva, zavßdφ se do pam∞¥i p°i spuÜt∞nφ PC (vyu₧φva k tomu registry, pop°. win.ini).
  • KDLL.DLL - "keylogger".
  • CP_25389.NLS - datov² soubor od KDLL.DLL.

    Soubor KDLL.DLL obsahuje tzv. "keylogger", tj. program, kter² krade hesla a odesφlß je do Internetu cizφm lidem. "Keylogger" je vypouÜt∞n Φervem I-Worm/BatTrans.B do posti₧enΘho poΦφtaΦe. Pokud zjistφ, ₧e nadpis aktivnφho okno ve Windows zaΦφnß pφsmeny LOG, PAS, REM, CON, TER nebo NET, zapisuje si u₧ivatelem stisknutΘ klßvesy (nap°. LOG zabere v p°φpad∞ okna s nadpisem Login apod.). VedlejÜφm efektem je, ₧e Φasto nelze napsat velkΘ pφsmeno s hßΦkem Φi Φßrkou (mφsto "╚" se zobrazφ nap°. "ííC" apod.).

    P°ed e-mailovou adresu posti₧enΘho odesilatele vklßdß znak "_", tak₧e ho nelze zp∞tn∞ o nebezpeΦφ informovat p°i pou₧itφ funkce REPLY - ODPOV╠D╠T (nap°. adresa franta@kuldan.cz bude zm∞nena na _franta@kuldan.cz).

    ╚erv I-Worm/BadTrans.B vyu₧φvß znßmΘ bezpeΦnostnφ dφry v Internet Exploreru, kterß umo₧nφ automatickΘ spuÜt∞nφ infikovanΘ p°φlohy u₧ p°i pouhΘm otev°enφ e-mailovΘ zprßvy ! U₧ivatel se tedy u₧ ani nemusφ namßhat soubor v p°φloze spustit !

    Zßplatu na tuto bezpeΦnostnφ dφru lze stßhnout zde !

    V²Üe uvedenΘ soubory je b∞hem lΘΦenφ nutnΘ odmazat nejlΘpe z re₧imu MS-DOS, pop°. ze startovacφ/systΘmovΘ diskety.


    • Jedno·Φelov² antivirus:

    Win32/BadTrans.B
  • Popis/pou₧itφ: Z Windows.

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.