Red beanie 0 Odesláno: 4. Duben, 2009 Share Odesláno: 4. Duben, 2009 Obravdu velký pozor si dejte na Virus Bagle.GM sám se šíří a bez důsledně detekce a uložení do karantény muže zničit celý windows s 99 virusy. čtěte dále a pomožte mi najít další takové virusy! Predmet správy, v ktorej Win32/Bagle.GM prichádza môže byť jeden z nasledujúcich: Ales Alice Alyce Andrew Androw Androwe Ann Anna Anne Annes Anthonie Anthony Anthonye Avice Avis Bennet Bennett Constance Cybil Daniel Danyell Dorithie Dorothee Dorothy Edmond Edmonde Edmund Edward Edwarde Elizabeth Elizabethe Ellen Ellyn Emanual Emanuel Emanuell Ester Frances Francis Fraunces Gabriell Geoffraie George Grace Harry Harrye Henrie Henry Henrye Hughe Humphrey Humphrie Christean Christian Isabel Isabell James Jane Jeames Jeffrey Jeffrye Joane Johen John Josias Judeth Judith Judithe Katherine Katheryne Leonard Leonarde Margaret Margarett Margerie Margerye Margret Margrett Marie Martha Mary Marye Michael Mychaell Nathaniel Nathaniell Nathanyell Nicholas Nicholaus Nycholas Peter Ralph Rebecka Richard Richarde Robert Roberte Roger Rose Rycharde Samuell Sara Sidney Sindony Stephen Susan Susanna Suzanna Sybell Sybyll Syndony Thomas Valentyne William Winifred Wynefrede Wynefreed Wynnefreede Z tohto zoznamu je i meno archívu v prílohe. Obsahuje spustiteľný súbor s červom. Archív je chránený heslom, ktoré sa nachádza v priloženom obrázku. Telo správy môže začínať jedným z týchto oslovení: To the beloved I love you Ďalej správa pokračuje jedným z týchto textov: The password is Password -- Use password to open archive. Password is Zip password: archive password: Password - Password: Win32/Bagle.GM sa pri prvom spustení skopíruje do adresára C:\Documents and Settings\username\Application Data\hidn pod názvom hidn.exe. V tom istom adresári vytvorí aj súbor m_hook.sys. Súbor m_hook.sys zabezpečuje maskovanie červa v systéme. Používa pri tom techniky tzv. Rootkitov. Automatické spúšťanie pri štarte systému si zabezpečí vytvorením položky databázy Registry s názvom drv_st_key v kľúči HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Jej hodnotu nastavuje na C:\Documents and Settings\username\Application Data\hidn\hidn.exe každých 5 minút. Ďalej vytvorí súbor C:\error.gif obsahujúci text Error. Červ potom tento obrázok otvorí predvoleným prehliadačom obrázkov. Červ sa pokúša ukončiť a zakázať nasledujúce služby: Aavmker4 ABVPN2K ADBLOCK.DLL ADFirewall AFWMCL Ahnlab task Scheduler alerter AlertManger AntiVir Service AntiyFirewall ARP.DLL aswMon2 aswRdr aswTdi aswUpdSv Ati HotKey Poller avast! Antivirus avast! Mail Scanner avast! Web Scanner AVEService AVExch32Service AvFlt Avg7Alrt Avg7Core Avg7RsW Avg7RsXP Avg7UpdSvc AvgCore AvgFsh AVGFwSrv AvgFwSvr AvgServ AvgTdi AVIRAMailService AVIRAService avpcc AVUPDService AVWUpSrv AvxIni awhost32 backweb client-4476822 backweb client - 4476822 BackWeb Client - 7681197 Bdfndisf bdftdif bdss BlackICE BsFileSpy BsFirewall BsMailProxy CAISafe ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe CONTENT.DLL DefWatch DNSCACHE.DLL drwebnet dvpapi dvpinit ewido security suite control ewido security suite driver ewido security suite guard F-Prot Antivirus Update Monitor F-Secure Gatekeeper Handler Starter firewall fsbwsys FSDFWD FSFW FSMA FTPFILT.DLL FwcAgent fwdrv Guard NT HSnSFW HSnSPro HTMLFILT.DLL HTTPFILT.DLL IMAPFILT.DLL InoRPC InoRT InoTask Ip6Fw Ip6FwHlp KAVMonitorService KAVSvc KLBLMain KPfwSvc KWatch3 KWatchSvc MAILFILT.DLL McAfee Firewall McAfeeFramework McShield McTaskManager mcupdmgr.exe MCVSRte Microsoft NetWork FireWall Services MonSvcNT MpfService navapsvc NDIS_RD Ndisuio Network Associates Log Service nipsvc NISSERV NISUM NNTPFILT.DLL NOD32ControlCenter NOD32krn NOD32Service Norman NJeeves Norman Type-R Norman ZANDA Norton AntiVirus Server NPDriver NPFMntor NProtectService NSCTOP nvcoas NVCScheduler nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth NWService OfcPfwSvc Outbreak Manager Outpost Firewall OutpostFirewall PASSRV PAVAGENTE PavAtScheduler PAVDRV PAVFIRES PAVFNSVR Pavkre PavProc PavProt PavPrSrv PavReport PAVSRV PCC_PFW PCCPFW PersFW Personal Firewall POP3FILT.DLL PREVSRV PROTECT.DLL PSIMSVC qhwscsvc Quick Heal Online Protection ravmon8 RfwService SAVFMSE SAVScan SBService SECRET.DLL SharedAccess schscnt SmcService SNDSrvc SPBBCSvc SpiderNT SweepNet SWEEPSRV.SYS Symantec AntiVirus Client Symantec Core LC T_H_S_M The_Hacker_Antivirus tm_cfw Tmntsrv TmPfw tmproxy tmtdi V3MonNT V3MonSvc Vba32ECM Vba32ifs Vba32Ldr Vba32PP3 VBCompManService VexiraAntivirus VFILT VisNetic AntiVirus Plug-in vrfwsvc vsmon VSSERV WinAntivirus WinRoute wscsvc wuauserv xcomm E-mailové adresy na ďalšie šírenie získava Win32/Bagle.GM zo súborov na pevnom disku, ktoré majú jednu z prípon: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml Neposiela sa však na adresy, ktoré obsahujú niektorý z týchto reťazcov: .. .@ @. @avp. @foo @iana @messagelab abuse admin anyone@ bsd bugs@ cafee certific contract@ f-secur feste free-av gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update winrar winzip Každé 2 hodiny sa červ snaží stiahnuť súbor z jednej z 99 adries. Uloží ho ako %system%\re_file.exe a následne spustí. NOD32 detegoval Win32/Bagle.GM rozšírenou heuristikou bez potreby aktualizácie vzoriek. Detekcia červa Win32/Bagle.GM vzorkou bola doplnená od verzie 1.1611. Poznámka: V ďalšom texte je namiesto mena adresára, v ktorom je nainštalovaný operačný systém Windows, ktorý sa z pochopiteľných dôvodov môže líšiť pri každej jednotlivej inštalácii použitý symbolický zápis %windir%. Podadresár System alebo System32 v adresári %windir% je označovaný ako %system%. Link to comment Share on other sites More sharing options...
Guest Pongo Odesláno: 4. Duben, 2009 Share Odesláno: 4. Duben, 2009 Viete tak vam poviem ak mate antivirusovy system AVG alebo AVAST alebo NOD 32 a ine !!!!! Tak vam to hrosi pokjal pouzivate NOD smart security alebo spybot alebo specialne vydanie smrart security nehrozi vam to ! Ja sa osobitne nebojim stahujem aktualizacie od spolocnosti nod priamo Link to comment Share on other sites More sharing options...
Guest [*LoNg*]LiFe Odesláno: 4. Duben, 2009 Share Odesláno: 4. Duben, 2009 xD ja som pocul ze je virus ktory zisti ci ho mas v pc to sem daj xD ja nwm kde sa da najst Link to comment Share on other sites More sharing options...
Guest Pongo Odesláno: 4. Duben, 2009 Share Odesláno: 4. Duben, 2009 AVAST a AVG sa daju pokladat ako samy virusy mazu systemove subori raz som to zazil vzmazalo mi pol windosňvsu ! preto ich nekupujte lebo su lacne ! Link to comment Share on other sites More sharing options...
Red beanie 0 Odesláno: 4. Duben, 2009 Author Share Odesláno: 4. Duben, 2009 spybot tolika nedoporučuji spíše nortona který má antispyware a dokáže odfloodovat HDD :thumbup: Link to comment Share on other sites More sharing options...
CjKing 0 Odesláno: 4. Duben, 2009 Share Odesláno: 4. Duben, 2009 ja mam este smart security 4 a zatial naslo 3 virusi ale zrusilo stahovanie a este smar security 4 stacil ako antivirus? Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now