VIRUS INFO
|
| Naziv
virusa: |
VBS.FreeLink |
| Alias:
|
VBS_ZuluV2.0,
Freelink, ZuluV2.0 |
| Tip: |
worm |
| Način
širenja: |
e-mailom,
mIRC chat kanalima |
| Veličina: |
|
Destruktivan:
|
da |
| Datum
aktiviranja: |
|
| Otkriven:
|
19.04.2000.
|
OBJAŠNJENJE
Ovo
je VBS (Visual Basic Script) crv koji se širi
preko zaraženog Microsoft Outlooka i(li) mIRC
chat kanalima.
Stiže
kao e-mail poruka:
Subject:
Check this
Tekst poruke: Have fun with these links. Bye.
Attachment: LINKS.VBS.
Prilikom
aktiviranja pristiglog fajla korisnik će biti
upitan sledećim pitanjem:
This will add a shortcut to free XXX links
on your desktop. Do you want to continue?
Ako
korisnik odgovori sa YES na desktop računara
će biti postavljen link ka XXX sajtu.
Posle
ovoga se kreira novi fajl C:\ WINDOWS \ SYSTEM
\ RUNDLL.VBS i doda se sledeći ključ u Registry
bazi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS
\ CURRENTVERSION \ RUN \ RUNDLL=RUNDLL.VBS.
Ovim
se crv osigurao da će se svaki put startovati
kada se i Windows startuje.
Crv
iskoristi Outlook i pošalje se na sve e-mail adrese
iz Address Booka. Sve poruke su identične pristigloj.
Prilikom prvog pristupa Internetu mediator može
da pristupa Vašem računaru. Spisak mogućnosti
je velik, a ja cu samo nabrojati neke: kreira
i briše fajlove, šalje poruke na chat u Vaše ime,
šalje e-mail poruke bez Vašeg znanja .....
Da bi
se proširio mIRC chat kanalima crv skenira korisnikov
računar i ako postoji direktorijum mIRC, izmeni
fajl SCRIPT.INI i ubaci stavku da svakom
korisniku nekog mIRC chat kanala pošalje samog
sebe bez znanja oba korisnika.
Da je
korisnik na prvo pitanje odgovorio sa NO,
do svega ovoga ne bi došlo.
REŠENJE
Obrisati
fajl C:\ WINDOWS \ SYSTEM \ RUNDLL.VBS
i ukloniti sledeći ključ iz Registry baze:
HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT
\ WINDOWS \ CURRENTVERSION \ RUN \ RUNDLL=RUNDLL.VBS.
Osvežite
antivirusni program.
|
