VIRUS INFO
|
| Naziv
virusa: |
Win98.Damm |
| Alias:
|
|
| Tip: |
Win32
izvršni fajl virus |
| Način
širenja: |
zaraženim
izvršnim fajlovima |
| Veličina: |
|
Destruktivan:
|
ne |
| Datum
aktiviranja: |
1
u mesecu isključi sve ikonice na desktopu |
| Otkriven:
|
10.09.2000.
|
OBJAŠNJENJE
Ovo
je memorijski rezidentan virus koji napada samo
računare na kojima je instaliran Microsoft Windows
98.
Da bi ostao sakriven za korisnika, virus se prebacuje
u kernel mod koristeći Windows 98 funkciju
file access functions (funkcija za pristup
fajlovima=IFS), i svaki EXE fajl koji se
startuje, biva zaražen ovim virusom. Virus svoj
kod u fajlove zapisuje na samom kraju fajla.
Virus koristi anti-debuging trikove da bi onesposobio
Windows debuger.
Virus,
takode, proverava šta je od AV programa učitano
u memoriju, i ako ima neki, on ga isključi tako
da korisnik bez pitanja ostaje bez AV programa.
Prilikom inficiranja računara, virus pazi šta
će inficirati. Neće inficirati nijedan AV program
ni neki alatke koje se nalaze na sledećem spisku.
AVP, _AVP, NAV, TB,
F- WEB, PAV, GUARDDOG, DRW,
SPIDER, DSAV, NOD, MTX,
MATRIX, WINICE, FDISK, SCAN
i DEFRAG.
Osim
što zarazi sve EXE fajlove koji se startuju i
isključi AV programe iz memorije, virus još svakog
1 u mesecu ključem u Registry bazi isključi sve
ikonice na desktopu:
HKEY_CURRENT_USER \ Software \ Microsoft \
Windows \ CurrentVersion \ Policies \ Explorer="NoDesktop
= 1".
Virus
u sebi sadrži i potpis koji korisnik ne vidi:
DAMMiT by ULTRAS [MATRiX]
(c) 2000.
REŠENJE
osveženi
antivirusni program.
|
