[ virus.neobee.net ]

VIRUS INFO
Naziv virusa:	I-Worm.Gabry
Alias:
Tip:	trojanac
Način širenja:	e-mailom i preko lokalne mreže
Veličina:
Destruktivan:	da
Datum aktiviranja:
Otkriven:	20.05.2000.

OBJAŠNJENJE
Ovo je još jedan u nizu "LoveLetter" virusa koji se pojavio. Dobija se kao e-mail:

Subject: I'am missing U.
Telo poruke: Could u remember me?
Attachment: Y072QWV.VBS.

Kada se attachment pokrene, virus kreira isti ovakav fajl u MS Windowsom sistem direktorijumu i ubacuje sledeći ključ u Registry bazu:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "Y072QWV" = %Windows sistemski direktorjum% \ Y072QWV.VBS.

Ovim ključem se virus obezbeduje da će se svaki sledeći put, prilikom startovanja Windowsa i on startovati. Ovaj virus ima algoritam za detektovanje u kom je direktorijumu Windows instaliran. Tako će umesto %Windows sistemski direktorjum% stajati direktorijum u kome je Windows instaliran. Po default vrednosti ovaj direktorijum je C:\ WINDOWS \ SYSTEM.

Sledeći put kada se bude startovao Windows, virus će aktivirati Microsoft Outlook i poslati sebe na sve e-mail adrese iz korisnikovog Address booka. Ako se zaraženi računar nalazi u mreži, virus će se proširiti i na ostale korisnike tako što ce iskopirati u root direktorijum svim korisnicima fajl Y072QWV.VBS.

Virus ima i svoj interni brojač kojim registruje kada će da šalje poruke preko Outlooka. Ovaj brojač se nalazi u Registry bazi:
HKEY_LOCAL_MACHINE \ "Y072QWV" = broj.

Ako je vrednost 0, tj. virus je tek zarazio računar, ili 20, virus aktivira Microsoft Outlook i šalje se na sve e-mail adrese korisnika na koje naiđe. Ako se vrednost kreće od 1-19 virus neće ništa raditi, ali kada dođe do vrednosti 20 virus će ponovo aktivirati Outlook. Ova vrednost se povećava za 1 svaki put kada se Windows startuje. Kada dođe do vrednosti 20 brojać se nulira i počinje ponovo da broji do 20.

REŠENJE
Obrisati fajl Y072QWV.VBS koji se nalazi u Windowsovom sistem direktorijumu
i sledeće kljućeve u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "Y072QWV" = %Windows sistemski direktorjum% \ Y072QWV.VBS.
i
HKEY_LOCAL_MACHINE\ "Y072QWV" = broj.

Treba uvek imati osveženi antivirusni program i paziti šta dobijate od prijatelja.

Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.