VIRUS INFO
|
| Naziv
virusa: |
I-Worm.Plan |
| Alias:
|
|
| Tip: |
trojanac |
| Način
širenja: |
e-mailom |
| Veličina: |
|
Destruktivan:
|
da |
| Datum
aktiviranja: |
odmah
a 17 septembra prikazuje poruke svim korisnicima
koji su umreženi sa zaraženim računarom |
| Otkriven:
|
9.06.2000.
|
OBJAŠNJENJE
Ovo
je još jedan u nizu "LoveLetter"
virusa koji se pojavio.
Dobija se kao e-mail:
Subject: US PRESIDENT AND FBI SECRETS =PLEASE
VISIT => (http://WWW.2600.COM) <=.
Telo poruke: VERY JOKE..! SEE PRESIDENT AND
FBI TOP SECRET PICTURES.
Attachment: čini bilo koji naziv fajla ali
sa sledećim ekstenzijama:
.GIF.vbs
.BMP.vbs
.JPG.vbs.
Subject
i telo poruke mogu biti i različiti pošto virus
koristi algoritam za njihovo nasumično kreiranje.
Ime fajla, koji je poslat uz ovakvu poruku, je
kreiran istim algoritmom.
Kada
se attachment pokrene, virus kreira dva fajla,
RELOAD.VBS i LINUX32.VBS u Windowsom
sistem direktorijumu.
U Registry bazi se pojavljuje sledeći ključevi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Run \ RELOAD.VBS
i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Run \ LINUX32.VBS
Ovim
ključevima se virus obezbeđuje kako bi se startovao
svaki sledeći put kada se Windows startuje. Virus
kreira fajl US-PRESIDENT-AND-FBI-SECRETS.HTM
koji neće biti izvršen.
Kada
se korisnik konektuje na Internet, virus aktivira
Outlook i šalje se na sve e-mail adrese koje postoje
u Address booku. Zatim pokušava da se konektuje
na sledeće adrese kako bi preuzeo sledeće fajlove:
http://
members.fortunecity.com / plancolombia / macromedia32.zip
http:// members.fortunecity.com / plancolombia
/ linux321.zip
http:// members.fortunecity.com / plancolombia
/ linux322.zip.
Prvi
fajl je običan tekst a druga dva fajla su slike
u BMP formatu (slika1 i slika2).
Ovi
fajlovi kasnije bivaju preimenovani:
MACROMEDIA32.ZIP u IMPORTANT_NOTE.TXT
LINUX321.ZIP u LOGOS.SYS i
LINUX322.ZIP u LOGOW.SYS.
Fajlovi
LOGOS.SYS i LOGOW.SYS su slike koje
se prikazuju prilikom svakog startovanja i gašenja
MS Windowsa.
Virus
inficira sve fajlove koji imaju sledeće ekstenzije:
*.VBS, *. VBE, *. JS, *. JSE, *.CSS, *.WSH, *.SCT,
*.HTA, *.JPG, *.JPEG, *.MP3 i *. MP2.
Svakog
17 septembra virus šalje poruku svim korisnicima
koji su umreženi sa zaraženim računarom:
Subject:
Dedicated to my best brother=>Christiam
Julian(C.J.G.S.)
Telo
poruke:
============================================
"Plan
Colombia" virus v1.0 by Sand Ja9e Gr0w (www.colombia.com)
Dedicated
to all the people that want to be hackers or crackers,
in Colombia This program is also a protest act
against the violence and corruption that Colombia
lives... I always wanting that all this finishes,
I have said...
Santa
fe de Bogotá 2000/09 I dedicate to all you the
song "GoodBye" of Andreas Bochelli =============================================
Thanks
God..! A greeting for "Lina María" from
"Santa fe de Bogotá" A greeting for
"Tizo" from "Spain" And One
kicked of tail to my friends, "eL ChE"
and "ThE SpY"
Attachment:
<reč sastavljena od nasumično odabranih
5 slova> (M.H.M. TEAM)
REŠENJE
Obrisati
fajlove RELOAD.VBS, LINUX32.VBS
i US-PRESIDENT-AND-FBI-SECRETS.HTM
Kao
i ključe u Regystry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Run \ RELOAD.VBS
i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Run \ LINUX32.VBS.
Treba
uvek imati osveženi antivirusni program
i paziti šta dobijate od prijatelja.
|
