VIRUS INFO
|
| Naziv
virusa: |
Worm.P2P.Duload.a |
| Alias:
|
W32/Duload.worm.a,
Worm.P2P.Duload.a, Win32/P2P.Duload.Worm |
| Tip: |
worm |
| Način
širenja: |
KaZaa
P2P (peer-to-peer) mrežom (razmena
raznih podataka spajanjem svih korisnika
u jednu mrežu) |
| Veličina: |
18,432
bajtova |
Destruktivan:
|
ne |
| Datum
aktiviranja: |
startovanjem
zaraženog fajla |
| Otkriven:
|
21.08.2002. |
OBJAŠNJENJE
Ovaj
crv je napisan u programskom jeziku Microsoft
Visual Basic 6.
Kada korisnik startuje zaraženi fajl,
crv će kreirati sledeći fajl
C:\WINDOWS\SYSTEM\SYSTEMCONFIG.EXE
i
kreiraće kluč u Registry bazi
kako bi se on startovao svaki put kada
se startuje i Windows
HKEY_CURRENT_USER \ Software \ Microsoft
\ Windows \ CurrentVersion \ Run
Windows System Configure= C:\ WINDOWS
\ SYSTEM \ SYSTEMCONFIG.EXE
HKEY_LOCAL_MACHINE
\ Software \ Microsoft \ Windows \ CurrentVersion
\ Run
Windows System Configure= C:\ WINDOWS
\ SYSTEM \ SYSTEMCONFIG.EXE
HKEY_LOCAL_MACHINE
\ Software \ Microsoft \ Windows \ CurrentVersion
\ RunServices
Windows System Configure= C:\ WINDOWS
\ SYSTEM \ SYSTEMCONFIG.EXE
Crv
kreira u Windows System direktorijumu
poddirektorijum Media (po defaultu C:\
WINDOWS \ SYSTEM \ MEDIA) i u njemu
kreira sledeće fajlove:
Jenna Jamison Dildo Humping.exe
Pamela Anderson And Tommy Lee Home Video.exe
Alicia Silverstone Payboy Nude.exe
Kama Sutra Tetris.exe
Flash Golf.exe
Hoes For You Solitare.exe
Bingo.exe
Irc Client.exe
Mirc 7.0.exe
DDos Client.exe
Email Bomber.exe
FileServer.exe
Kazaa Clone.exe
Napster Clone.exe
Winmx.exe
Website Hacker.exe
Hotmail Hacker.exe
Windows Hacker.exe
Free Porn.exe
Free Mpegs.exe
Free Pics.exe
Britney Spears Dance Beat.exe
Shakira Dancing.exe
J.Lo Bikini Screensaver.exe
Universal Game Crack.exe
Soldier Of Fortune 2 Mutiplayer Serial
Hack.exe
Play Games Online For FREE.exe
Win A Ps2.exe
Win An Xbox.exe
Xbox Emulator.exe
Ps2 Emulator.exe
Ps2 Iso 2 Rom Converter.exe
Xbox Iso 2 Rom Converter.exe
The Sims Game Crack.exe
Working Iso Burner.exe
Winzip.exe
Winrar.exe
Winace.exe
System Monitor.exe
Warcraft 3 Battle.net Crack.exe
Kada
kreira ove fajlove, crv kreira i ključ
u Registry bazi.
HKEY_CURRENT_USER \ Software
\ Kazaa
gde kao ključ navodi da je taj direktorijum,
koji je kreirao, deljiv sa svim korisnicima
preko KaZaa P2P mreže.
Takođe
će biti izmenjeno i nekoliko ključeva
u Registry bazi koji se odnose na ovaj
program:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir0" = C:\WINDOWS\SYSTEM\Media\
HKEY_LOCAL_MACHINE\Software\Kazaa\CloudLoad
"ShareDir" = C:\WINDOWS\SYSTEM\Media\
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir1" = C:\WINDOWS\SYSTEM\Media\
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir2" = 012345:C:\WINDOWS\SYSTEM\Media\
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"DisableSharing" = 0
HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir0" = 012345:C:\WINDOWS\SYSTEM\Media\
HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir1"= C:\WINDOWS\SYSTEM\Media\
HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir99" = 012345:C:\WINDOWS\SYSTEM\Media\
Dok je korisnik na Internetu, crv će sa
http://thisistrash.0catch.com/
skinuti trojanca pod imenom Trojan.Downloader
i sačuvaće ga kao C:\UNINSTALL.EXE.
Zatim će ga startovati.
REŠENJE
U
Registry bazi treba ukloniti sledeće ključeve:
HKEY_CURRENT_USER
\ Software \ Microsoft \ Windows
\ CurrentVersion \ Run
Windows System Configure= C:\ WINDOWS
\ SYSTEM \ SYSTEMCONFIG.EXE
HKEY_LOCAL_MACHINE
\ Software \ Microsoft \ Windows \ CurrentVersion
\ Run
Windows System Configure= C:\ WINDOWS
\ SYSTEM \ SYSTEMCONFIG.EXE
HKEY_LOCAL_MACHINE
\ Software \ Microsoft \ Windows \ CurrentVersion
\ RunServices
Windows System Configure= C:\ WINDOWS
\ SYSTEM \ SYSTEMCONFIG.EXE
Zatim
obrisati fajl C:\ WINDOWS \ SYSTEM
\ SYSTEMCONFIG.EXE kao i direktorijum
C:\ WINDOWS \ SYSTEM \ MEDIA.
Korisnici
koji koriste ovaj program, KaZaa, za razmenu
fajlova trebalo bi da provere još jedno
podešavanje programa.
Zbog pojave dosta sličnih virusa i crva
koji se šire preko P2P mreža, preporučujem
redovno osvežavanje antivirusnog programa.
|
