VIRUS INFO
|
| Naziv
virusa: |
Angela |
| Alias:
|
|
| Tip: |
trojanac
i MBR virus |
| Način
širenja: |
preko
zaraženih EXE fajlova, zaraženih flopi
disketa, e-mailom, IRC kanalom |
| Veličina: |
|
Destruktivan:
|
da |
| Datum
aktiviranja: |
|
| Otkriven:
|
18.05.2000.
|
OBJAŠNJENJE
Ovo je višestruki
virus koji inficira MBR hard diska, boot
sektor disketa i sve EXE fajlove. Ovaj
virus ima i mogućnost širenja preko IRC
kanala, koristeći program mIRC, i e-mailom,
koristeći Microsoft Outlook. Kada se virus
aktivira na računaru, da li preko zaražene
diskete, startovanjem nekog zaraženog
EXE fajla, dobijenog fajla preko IRC kanala
ili preko e-maila, virus obriše fajl C:\
WINDOWS\ SYSTEM\ IOSUBSYS\ HSFLOP.PDR.
Virus briše ovaj fajl kako bi naterao
Microsoft Windows operativni sistem da
bi sledeći put mogao da operiše sa disk
sektorom koristeći staru komandu INT 13h
(disk access, pristup disku). Ovu komandu
koristi kako bi virus bio u potpunom stealth
(nevidljivom) modu. Kada se operativni
sistem učitava sa zaraženog diska virus
se zakači za INT 13h i INT 1Ch (tajmer).
Kada se operativni sistem podigne, virus
se zakači za INT 21h (DOS funkcije) i
inficira sve EXE fajlove koji su startovani.
Koristeći INT 13h virus zarazi na svakoj
flopi disketi boot sektor.
Kada
se startuje neki EXE fajl, virus zarazi boot
sektor hard diska, kreira i registruje (neregistrovani
EXE fajlovi se ne mogu startovati) ANGELA.EXE
fajl, koji kada se aktivira kreira VBS skript,
za širenje preko e-maila, i mIRC skript, kako
bi se širio preko IRC kanala. Ovaj fajl se nalazi
u C:\WINDOWS\SYSTEM direktorijumu. Ako
ovaj direktorijum ne postoji ili nosi neki drugi
naziv, virus se neće proširiti e-mailom i IRC
kanalom.
Da bi
se ovaj fajl startovao, virus kreira sledeće redove
u AUTOEXEC.BAT fajlu:
@ECHO
OFF
c:\windows\system\angela.exe
REM - DO NOT REMOVE!
Ako
se kojim slučajem neki od VBS ili mIRC skriptova
obriše, slučajno ili namerno, virus će prilikom
sledećeg resetovanja operativnog sistema ponovo
kreirati svoje skriptove.
Virus
kreira ANGELA.VBS skript u C:\ WINDOWS
\ STARTUP direktorijumu. Ovaj skript, kada
se sledeći put startuje Microsoft Windows, aktivira
Microsoft Outlook i pošalje se na prvih 20 e-mail
adresa na koje naiđe u Address booku. Poslat e-mail
sa ovako zaraženog sistema izgleda ovako:
Subject:
Finally found it!
Telo poruke: Here are the files you asked
me for...
Attachment: angela.exe
Skript
posle uspešno poslatih 20 e-mailova briše VBS
fajl. U toku ove sesije startovanja Windowsa,
virus ne šalje ni jednu poruku. Ali, čim se Windows
resetuje, virus se ponovo aktivira preko AUTOEXEC.BAT
fajla, i virus onda ponovo šalje sebe na prvih
20 adresa iz Address booka Microsoft Outlooka.
Virus
izmeni sadržaj SCRIPT.INI fajla u
C:\MIRC direktorijumu, koji mu onda omogućava
slanje ANGELA.EXE fajla svim korisnicima
istog kanala.
REŠENJE
-
obisati fajl C:\ WINDOWS \ SYSTEM
\ ANGELA.EXE
- obrisati sve VBS fajlove koji se nalaze
u C:\ WINDOWS \ STARTUP direktorijumu
- obrisati sledece redove u AUTOEXEC.BAT
fajlu: "c:\windows\system\angela.exe"
i "REM - DO NOT REMOVE!"
- reinstalirati Microsoft Windows i mIRC
program.
Osveženi
antivirusni program.
|
