VIRUS INFO
|
| Naziv
virusa: |
VBS/Jer |
| Alias:
|
VBS/Jer-A |
| Tip: |
worm |
| Način
širenja: |
pristupom
web lokaciji ili preko mIRC kanala |
| Veličina: |
|
Destruktivan:
|
da |
| Datum
aktiviranja: |
|
| Otkriven:
|
2.07.2000.
|
OBJAŠNJENJE
Ovo
je VBS crv koji inficira računar prilikom pritupa
web lokaciji. Na lokaciji WWW.GEOCITIES.COM
sa pod nazivom "<< THE 40 WAYS WOMEN
FAIL IN BED" se nalazio ovaj crv.
2 jula 2000. godine 10000 osoba koji su se nalazili
na različitim kanalima IRC-a dobilo je poruku
da posete ovaj sajt. Ovaj sajt je prvog dana posetilo
preko 1000 posetilaca. Zbog greške u algoritmu
crv se nije proširio onako kako je to njegov autor
želeo.
U okviru
same web stranice, u HTML kodu postoji VBS skript.
Prilikom učitavanja sajta učitaće se i sam crv.
On automatski kreira fajl C:\ WINDOWS \ SYSTEM
\ JER.HTM i napravi izmenu u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows
\ CurrentVersion \ Run \ GinSenG = "JER.HTM"
čime
se crv osigurava da će se svaki put učitati kada
se Windows startuje.
U direktorijumu
C:\MIRC, ako postoji, crv izmeni fajl SCRIPT.INI
tako da svaki put kada se korisnik konektuje u
neki kanal za chat, svim osobama pošalje fajl
JER.HTM i doda ključ u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Run \ GinSenG = "JER.HTM".
Crv
ima i mogućnost da pristupi tuđem računaru samo
ako osoba otkuca nekoliko određenih slova koja
su navedena u skriptu samog crva.
Crv
tada promeni još nekoliko ključeva u Registry
bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Run \ GinSenG
HKEY_LOCAL_MACHINE \ Software \ Microsoft\ Windows
\ CurrentVersion \ Policies \ Explorer \ NoDesktop
- isključuje pristup ikonicama na desktopu (radnoj
površini),
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Policies \ Explorer
\ NoFind - isključuje opciju "Find"
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Policies \ Network
\ NoNetSetup - isključuje u Control panelu
Network properties
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Policies \ Explorer
\ NoClose - isključuje iz Start menija
"Shut Down"
Sledeći
ključevi se odnose na samog korisnika računara:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Version - menja
verziju Windowsa (kao primer za korisnike Win98
treba da stoji "Windows 98")
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ RegisteredOwner
- korisnikovo ime, tj. ko je registrovao Windows
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ RegisteredOrganization
- ime organizacije kojoj pripada korisnik. ( )
Neki
korisnici su se zarazili prilikom pristupa samom
sajtu, neki su se svojom greškom zarazili (odgovorili
su na ovo pitanje sa "Yes" umesto sa
"No").
a neki
su izbegli zarazu tako što su imali dobro podešen
Internet Explorer. Oni što su se direktno zarazili
i oni što su se zarazili svojom greškom treba
da podese IE kao što je opisano na kraju teksta.
REŠENJE
Ova
web stranica je već uklonjena sa servera,
tako da ne treba da se plašite, za sada.
U budućnosti će postojati još ovakvih
virusa. Zato, čuvajte svoj računar od
raznih zaraza držeći Vaš antivirusni program
uvek osveženim i pratite šta se dešava
u svetu virusa preko ovog sajta.
Jedan
savet: podesite sledeće opcije Internet
Explorera za bezbednije surfovanje:
u meniju
Tools/Internet Options… (ili iz Control
Panela ikonica Internet Options) odaberite
stavku Security. Zatim kliknite na ikonicu
Internet, u donjem delu Custom Level.
Sledeća podešavanja treba postaviti:
Download
signed ActiveX controls - Enable,
Download unsigned ActiveX controls - Disable,
Initialize and script ActiveX controls not
marked as safe - Disable,
Script ActiveX controls marked safe
for sripting - Enable.
Ova
podešavanja snimite i svaki put kada na nakom
sajtu postoji neka ActiveX kontrola koja
nije sigurna (not safe for scripting) Vi
ćete biti na odredeni način sačuvani od mogućnosti
zaraze.
|
