VIRUS INFO
Naziv virusa: VBS/Fireburn.A
Alias:
Tip: worm
Način širenja: e-mailom i mIRC kanalima
Veličina: 4,897 ili 5,132 Kb
Destruktivan:
ne
Datum aktiviranja:
Otkriven: 30.05.2000.

OBJAŠNJENJE
Još jedan u nizu od virusa koji se šire e-mailom i mIRC kanalima. Postoje dva načina primanja ovog virusa putem e-mail poruke. To zavisi od toga koju verziju Windowsa koristi osoba od koje ste dobili virus, nemačku ili englesku verziju. Kada stigne kao e-mail poruka ona izgleda ovako: 

Subject: Hi, how are you? 
Telo poruke: Hi, look at that nice Pic attached ! Watching it is a must ;) cu later...

ili

Subject: Moin, alles klar? 
Telo poruke: Hi, wie geht's dir? Guck dir mal das Photo im Anhang an, ist echt geil ;) bye, bis dann..

Kao attachment može da stigne jedan fajl, ali postoji nekoliko varijacija: 

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE!!.JPG.vbs
!Jany__Gets-f***ed!.GIF.vbs
cute__EmmaPeel!!!.JPG.vbs
Julie17__xxx.GIF.vbs

Ako na računaru nije instaliran Windows Scripting Host (WSH) program, ne standardna opcija prilikom instalacije Windowsa 95/98 i NT-a, ništa se neće desiti. Ali, ako je instaliran Internet Explorer 5 ili noviji, ovaj program je instaliran. 

Kada se startuje pristigli fajl, virus kreira fajl C:\ WINDOWS \ RUNDLL32.VBS i
napravi ključ u Registry bazi:
HKEY_LOCAL_MACHINE \Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MSrundll32=rundll32.vbs. 

Ovim se ključem se virus osigurava da će se aktivirati svaki put kada se Windows startuje. Virus promeni i ključ u Registry bazi kojim se označava ko je "registrovao" računar:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RegisteredOwner = FireburN ().

Virus takođe napravi svoju kopiju u C:\WINDOWS direktorijumu ali za naziv tog fajla koristi slučajan izbor imena. U tom odabiru imena uvek postoji neka cenzurisana rec: 

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE!!.JPG.vbs
!Jany__Gets-f***ed!.GIF.vbs
cute__EmmaPeel!!!.JPG.vbs
Julie17__xxx.GIF.vbs

Kada virus otkrije da je računar konektovan na Internet, virus aktivira Microsoft Outlook, ako nije, i počne da se reprodukuje na sve adrese koje postoje u Address Booku korisnika. Naravno, virus počisti Sent direktorijum kako korisnik ne bi znao da se virus replicirao. 

Da bi se virus proširio preko mIRC kanala, virus prvo proverava da li negde na disku postoji direktorijum mIRC i u njemu fajl SCRIPT.INI. Ako ovaj fajl postoji, virus u njega upiše svoj kod, tj. da se pošalje svakome ko je na istom kanalu sa korisnikom. Ovako izmenjeni mIRC program šalje svim osobama na tom kanalu poruku: 

Burn, Burn, Burn :) 

koja sadrži tekst sledeće sadržine: 

I'll commit suicide! R.I.P 

i fajl koje je pre toga kreirao a nalazi se u C:\WINDOWS direktorijumu. 

Kada virus detektuje da je datum na računaru 20 jun, prilikom startovanja Windowsa prikaže sledeću poruku.

Kada korisnik pritisne na jedino dugme OK, virus upiše sledeće ključeve u Registy bazu:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Shut_Up=rundll32 mouse, disable

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run\ Shut_Up2=rundll32 keyboard, disable 

Ovim ključevima se isključuju miš i tastatura.

Virus u sebi sadrži i tekst koji korisnik ne vidi: 

VBS.FIREBURN.A -- mIRC/Outlook worm coded by fireburn Polymorphic: Changing the actual filename on each start... greets: to all members of 'UnCreativeLabs.

REŠENJE
Brisanjem fajlova WScript.exe ili CScript.exe koji predstavljaju delove Windows Scripting Hosta. Ovo ne bih preporučio jer se time oštećuje sam Windows Scripting Host. 

U Registry bazi naći sledeći ključ:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MSrundll32=rundll32.vbs 

koji treba obrisati, kao i stavke: 

rundll32.exe mouse,disable i rundll32.exe keyboard,disable (ako postoje). 

Treba još promeniti jedan ključ u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion 

i sa desne strane treba pronaći vrednost ključa: RegisteredOwner = "FireburN". Ovu vrednost možete obrisati ili promeniti i upisati svoje ime. 

Ja svakako preporučujem korišćenje osveženog antivirusnog programa.






  Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.  


 

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

  
VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.