VIRUS INFO
|
| Naziv
virusa: |
VBS/Stages.A |
| Alias:
|
VBS/ShellScrap,
STAGES.A, Scrapworm i LifeStages |
| Tip: |
trojanac |
| Način
širenja: |
e-mailom,
ICQ i mIRC kanalima |
| Veličina: |
39
936 bajtova |
Destruktivan:
|
da |
| Datum
aktiviranja: |
|
| Otkriven:
|
18.06.2000.
|
OBJAŠNJENJE
VBS_STAGES.A
je trojanac koji se širi koristeći Microsoft Outlook,
mIRC i ICQ programe kako bi zarazio još računara.
Ovaj virus najčešće stiže kao e-mail poruka od
nekoga koga znate. Subject linija i telo poruke
su algoritmom virusa generički sastavljeni. Fajl
koji stiže je LIFE_STAGES.TXT.SHS. Neki
korisnici neće videti da ovaj fajl nije običan
TXT fajl. Prilikom njegovog startovanja prikazuje
se poruka.
Dok
korisnik čita tekst, virus počinje da se širi
po njegovom računaru.
Virus
kreira sledeće fajlove:
C:\ WINDOWS \ SYSTEM \ SCANREG.VBS
C:\ WINDOWS \ SYSTEM \ MSINFO16.TLB
C:\ WINDOWS \ SYSTEM \ VBASET.OLB
C:\ WINDOWS \ IME_RACUNARA.ACL
C:\ RECYCLED \ DBINDEX.VBS
C:\ RECYCLED \ MSRCYCLD.DAT
C:\ RECYCLED \ RCYCLDBN.DAT
C:\ RECYCLED \ RECYCLED.VXD
C:\ REPORT.TXT.SHS
C:\ MY DOCUMENTS \ IMPORTANT.TXT.SHS
C:\ WINDOWS \ LIFE_STAGES.TXT.SHS
C:\ WINDOWS \ START MENU \ PROGRAMS \ UNKNOWN_805.TXT.SHS
i doda
sledeće redove u Registry bazu:
HKEY_LOCAL_MACHINE \ Software \ Microsoft\Windows
\ CurrentVersion \ RunServices \ ScanReg = "C:\
WINDOWS \ WSCRIPT.EXE C:\ WINDOWS \ SYSTEM \ SCANREG.VBS",
HKEY_USERS \ .DEFAULT \ Software \ Mirabilis
\ ICQ \ Agent \ Apps \ ICQ \ Parameters = "C:\
RECYCLED \ DBINDEX.VBS",
HKEY_USERS \ .DEFAULT \ Software \ Mirabilis
\ ICQ \ Agent \ Apps \ ICQ \ Path = "C:\
WINDOWS \ WSCRIPT.EXE" i
HKEY_USERS \ .DEFAULT \ Software \ Mirabilis
\ ICQ \ Agent \ Apps \ ICQ \ Startup = "C:\
WINDOWS".
Da bi
se proširio kroz mIRC kanale, virus kreira fajl
SOUND32B.DLL, koji je u stvari pomoćni
fajl koji će biti pozvan od strane MIRC.INI
kao običan DLL fajl. SOUND32B.DLL ima instrukcije
da kada se korisnik priključi nekom mIRC kanalu
pošalje fajl LIFE_STAGES.TXT.SHS svim korisnicima.
Ovaj fajl neki firewall program može prepoznati
kao trojanca IRC_STAGES.A.
Ovaj
virus napada korisnikov Address book Outlooka
da bi se proširio na sve e-mail adrese koje ima.
Svaka e-mail poruka izgleda ovako.
Virus
izvrši promene i sa samom Registry bazom, koju
prebacuje u direktorijum C:\RECYCLED. Da
bi ovo mogao da uradi bez znanja korisnka i da
radi računar bez nekih većih problema, virus izmeni
još nekoliko redova u samoj bazi:
HKEY_LOCAL_MACHINE \ Software \ CLASSES \ regfile
\ DefaultIcon vrednost "@"
sa "C:\ WINDOWS \ regedit.exe,1"
na "C:\ RECYCLED \ RECYCLED.VXD,1"
i
HKEY_LOCAL_MACHINE
\ Software \ CLASSES \ regfile \ shell \ open
\ command vrednost "@" sa
"regedit.exe "%1"" na
"C:\ RECYCLED \ RECYCLED.VXD "%1"".
Virus
još kreira nekoliko fajlova koristeći algoritam
za njihovo nasumično kreiranje, gde koristi sledeće
reči: IMPORTANT, INFO, REPORT, SECRET i UNKNOWN.
U nazivu fajla postoji i nekoliko brojeva, od
0-999 i obavezno je taj fajl sa dvostrukom ekstenzijom
.TXT.SHS (npr. UNKNOWN-123.TXT.SHS ili
IMPORTANT_432.TXT.SHS). Ovakvi fajlovi
se nalaze u root direktorijumu, My Documents
i C:\ WINDOWS \ START MENU \ PROGRAMS.
REŠENJE
Obrisati
sledeće fajlove:
C:\
WINDOWS \ SYSTEM\SCANREG.VBS
C:\ WINDOWS \ SYSTEM\MSINFO16.TLB
C:\ WINDOWS \ SYSTEM\VBASET.OLB
C:\ WINDOWS \ IME_RACUNARA.ACL
C:\ RECYCLED \ DBINDEX.VBS
C:\ RECYCLED \ MSRCYCLD.DAT
C:\ RECYCLED \ RCYCLDBN.DAT
C:\ RECYCLED \ RECYCLED.VXD
C:\ REPORT.TXT.SHS
C:\ MY DOCUMENTS \ IMPORTANT.TXT.SHS
C:\ WINDOWS \ LIFE_STAGES.TXT.SHS
C:\ WINDOWS \ START MENU \ PROGRAMS \ UNKNOWN_805.TXT.SHS
i sve
fajlove sa dvostrukom ekstenzijom (*.TXT.SHS).
Preimenovati
fajl C:\ RECYCLED \ RECYCLED.VXD u C:\
WINDOWS \ RECYCLED.EXE.
U Registry
bazi ukloniti sledeće redove:
HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\DefaultIcon
vrednost "@" sa "C:\
RECYCLED \ RECYCLED.VXD,1" na "C:\
WINDOWS \ regedit.exe,1" i
HKEY_LOCAL_MACHINE
\ Software \ CLASSES \ regfile \ shell \ open
\ command vrednost "@" sa "C:\
RECYCLED \ RECYCLED.VXD "%1""
na "regedit.exe "%1"".
Uvek
treba imati osveženi antivirusni program.
|
