VIRUS INFO
|
| Naziv
virusa: |
VBS/Newlove.A |
| Alias:
|
VBS/Spammer.A,
VBS.loveletter.FW, Spammer, Newlove |
| Tip: |
trojanac |
| Način
širenja: |
e-mailom |
| Veličina: |
5Kb
(u izvornoj varijanti), a može da bude i 110,
248, 403, 585, 805, 1040 .... Kb |
Destruktivan:
|
da |
| Datum
aktiviranja: |
svaki
dan |
| Otkriven:
|
18.05.2000.
|
OBJAŠNJENJE
VBS/Newlove
je još jedan u nizu od novih VBS virusa. Nastao
je kao inspiracija već viđenog LoveLetter VBS
virusa.
Startovan,
virus aktivira Addres
book Microsoft Outlooka i pošalje se na sve e-mail
adrese korisnika. Ovaj virus je polimorfan, tako
da se prilikom širenja nikada neće pojaviti u
izvornom kodu. Nove linije u samom virusu se dodaju
nakon svakog sledećeg širenja. Te linije se dodaju
po slučajnom izboru algoritma virusa. Na ovaj
način virus postaje sve veći i veći. U izvornom
kodu virus je velik 5Kb, a može i da naraste i
do nekoliko megabajta, a to zavisi na koliko se
već pre toga računara zarazio. Pisac ovog virusa
je bio inspirisan LoveLetter virusom pa tako ovaj
virus ima neke slične osobine. Kada se virus širi
preko Outlooka, virus se ne širi sa istim poljem
u Subject liniji ni sa istim attachmentom, tj.
nikada se neće poslati kao ista poruka sa istim
attachmentom. Subject linija obično ima 30 karaktera
koji su nastali slučajnim odabirom algoritma virusa:
FW:
VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp
FW: QKUPLSXOOIBPAGNENGIVPN.Mp3
FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb
FW: HBLHCJOFFZS.Mdb
FW: MGQMHOTKKEXLWCJAJ.Doc
FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb
FW: CWGCXE.Mp3
Telo
poruke je uvek prazno.
Kada
se računar inficira sa ovim virusem, Windows prvo
postaje jako nestabilan a zatim dovodi do toga
da potpuno prestane sa radom. Kada osetite da
Vam Windows ne radi kako treba, tj. stalno se
ruši, proverite sledeće stavke u registry bazi:
HKEY_LOCAL_MACHINE
\ Software \ Microsoft \ Windows \ CurrentVersion
\ Run \ <ime> i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ RunServices \ <ime>.
Ako
nešto piše u ovom polju, proverite prvo da li
je to vezano za Vas sistem, a ako nije a vezano
je za fajl koji ste nedavno dobili kao attechment
od prijatelja, slobodno obrišite jer su to stavke
kojima se obezbeđuje da se virus startuje sledeći
put po podizanju sistema.
Virus
sva fajlove koje zarazi preimenuje, tj. doda in
nastavak .vbs (priner: WIN.INI se preimenuje
u WIN.INI.VBS), a neke jednostavno "napuni"
nulama
(veličina fajla je 0 bajtova). Takvi fajlovi onda
postaju potpuno neupotrebljivi pa je potrebno
reinstaliranje celog sistema.
Srećom,
virus ima mali bag u sebi pa ne može da zarazi
sve fajlove na koje naiđe.
REŠENJE
Obrišite
svaku vezu sa virusom iz Registy baze:
HKEY_LOCAL_MACHINE
\ Software \ Microsoft \ Windows \ CurrentVersion
\ Run \ <ime> i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ RunServices \ <ime>.
Sve
fajlove na koje naiđete i imaju dvostuku ekstenziju, morate preimenovati (WIN.INI.VBS
se preimenuje u WIN.INI) ako imaju neku
sadržinu. Fajlovi koji su startovani nekoliko
puta pod sistemom koji je zartažen ovim virusom,
mogu da imaju i ovakvu ekstenziju: slika.jpg.vbs.vbs.vbs.vbs.
Ako su fajlovi "napunjeni"
nulama tada se mora potpuno
reinstalirati ceo sistem. Mislim da je ovo i jedno
od najboljih, ali najsigurnijih rešenja.
Ipak
preporučujem osveženi antivirusni program i pazite
šta dobijate od prijatelja.
|
