[ virus.neobee.net ]

VIRUS INFO
Naziv virusa:	VBS/Izled-A
Alias:	YuSifilis
Tip:	worm
Način širenja:	e-mailom ili preko IRC-a
Veličina:
Destruktivan:	da
Datum aktiviranja:	otvaranjem pristigle pošte
Otkriven:	6.07.2001.

OBJAŠNJENJE
VBS/Izled-A je crv napisan u kao Visual Basic Script koji se širi putem e-maila i IRC-a. Ovo je domaći crv napisan od strane VIRUSKREW-a.

Stiže kao e-mail sa sledećim karakteristikama:
Subject: Jao pogledaj ovo pa ove je za umreti od smeha...

Telo poruke je:
Hmm novi pokreti , sve novo , ovo je stvarno mocno :) morao sam ovo da podelim ... saljem ti ... haha e drzi se za stolicu da nebi pao sa nje od smeha hehe :) sta sve ljudi znaju da pisu pa to je neverovatno.

Attachment: SEX_ZA_NEUPUCENE.HTM

Kada korisnik otvoriti pristigli fajl, u Internet Exploreru će se prikazati upozorenje da je na stranici ActiveX kontrola koja može biti nesigurna. U HTML-u je na stranici napisan tekst "The file use ActiveX , press "YES" to see the page...". i

Odabere li korisnik "Yes", pokrenut ce crv i izvršiti njegov kod.

Jednom aktivan, crv kreira svoju kopiju u Windows direktoriju pod imenom KERNEL32.DLL i zbog toga dolazi do problema kod restartovanja računara. KERNEL32.DLL je jedan od najvažnijih sistemskih fajlova koja se obično nalazi u System direktoriju. Kako ovaj crv kreira istiomenu datoteku u Windows direktorijumu, Windows će pokušati da ovaj fajl učitati prie onog pravog što će prouzrokovati blokiranje računara.

Crv će se kopirati u sistemski direktorij pod imenima SEX_ZA_NEUPUCENE i MNTASK.TSK.

Nakon toga menja početnu stranicu Internet Explorera na "www.vxbiolabs.cjb.net."

Takođe, crv dodaje sledeći ključ u Registry bazu:

HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \ RUN YUSIFILIS.VBS

Potom crv prepisuje C:\AUTOEXEC.BAT sa tekstom koji će se prikazati prilikom sledećeg startovanja računara:

"Ja sam lepa, zgodna, pametna i uobrazena
Ja sam kompljuterski crv i virus 'YuSifilis'
-------------------------------------------
Moj bog koji me stvorio je AXidCooKie / clan VxBioLabs
Kad sve izgleda da umire, ono se ustvari radja...
Mi u BOG-a verujemo - Specie & ACidCooKie
Greets: VIRUSKREW, BihNet.org, #vxers, 29A,
vtc.cjb.net , and all VX coderz...".

Nakon toga crv koristi Outlook kako bi se poslao svima na sve e-mail adrese koje postoje u korisnikovom Address Booku.

Pošto su poruke poslane, crv kreira datoteku YUSIFILIS.VBS koja bi se trebala izvršiti pri sledećem startovanju Windowsa, ali se zbog problema s "lažnim" KERNEL32.DLL neće moći izvršiti (osim ako se ručno ne obriše virusni KERNEL32.DLL) tj. neće moći da se startuje Windows.

Ako se ovaj fajl ipak pokrene, crv će kreirati fajl u C:\ SIFILISUY.VBS. Takođe će fajl C:\ WINDWOWS \ SYSTEM \ MNTASK.TSK kopirati u C:\ WINDOWS \ ACTIVEX_DEMO_FILE.HTM.

Posle ovoga, crv će pretražiti sve diskove za *.VBS fajlovima. Sve fajlove na koje naiđe, crv će u njih upisati svoj sadržaj.

Ako korisnik ima na svom računaru instaliran program mIRC i fajl MIRC.INI, u istom će direktoriju kreirati SCRIPT.INI u kojem je kôd za slanje inficiranih drugim korisnicima mIRC IRC klijenta.

REŠENJE
Obrisati sleće fajlove:
YUSIFILIS.VBS,
SIFILISUY.VBS i
SEX_ZA_NEUPUCENE.HTM
a pošto je crv upisao svoj kod u sve *.VBS fajlove preporučujem reinstalaciju Windowsa.

Obrisati sledeći ključ u Registry bazi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \ RUN YUSIFILIS.VBS

Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.