VIRUS INFO
|
| Naziv
virusa: |
I.Worm.Scrambler |
| Alias:
|
|
| Tip: |
worm |
| Način
širenja: |
e-mailom
i IRC kanalima |
| Veličina: |
70Kb |
Destruktivan:
|
da |
| Datum
aktiviranja: |
|
| Otkriven:
|
29.05.2000.
|
OBJAŠNJENJE
Internet
worm (crv) koji se širi e-mailom i IRC kanalima
kao EXE fajl dužine 70Kb napisan u Microsoft Visual
C++. Kada se fajl startuje, virus kreira jedan
fajl u Windows system direktorijumu. Ovaj fajl
nikada nije isti, tj. virus koristi metod slučajnog
izbora slova da bi kreirao ovaj fajl i najcešće
ima 5 karaktera. Ovaj fajl će kasnije biti iskorišćen
kako bi se poslao preko IRC kanala.
Virus
skenira Windows direktorijum
i inficira sve *.EXE fajlove upisujući svoj kod
u njih. Prilikom inficiranja virus izbegava da
inficira fajlove koji počinju sa: E, P, R, T i
W.
Posle
ovoga, virus inficira sve fajlove u direktorijumu
\ MIRC \ DOWNLOAD, ako postoji. Virus zameni
postojeći SCRIPT.INI fajl mIRC programa
u svim mogućim direktorijumima koji po default
vrednostima postoje. Na ovaj način, kada se korisnik
priključi nekom kanalu, šalje sebe svim korisnicima
koji se nalaze na njemu.
Virus
kreira fajl SCRAMBLER.VBS koji virus kreira
u WINDOWS \ SYSTEM direktorijumu. Ovaj
fajl je odgovoran za slanje 90 poruka iz Addres
booka Outlooka. Poruka koja se pošalje sa ovako
zaraženog računara ima:
Subject: Check this out, it's funny.
Telo poruke je prazno.
Attachment: fajl koji stiže nikada nije isti.
Tada
virus kreira fajl WINSTART.BAT i Windows
direktorijumu koji po izvršavanju "očisti"
ekran (zacrni ga) i ispiše sledeću poruku:
Today..
I'm going to scramble your mind..
Virus
zatim kreira i fajl SCRAM.SYS koji u sebi
ima tekst:
Scrambler
by Gigabyte.
Virus
skenira sve diskove i sve pronađene MP3
fajlove ošteti.
REŠENJE
osveženi
antivirusni program.
|
