VIRUS INFO
|
| Naziv
virusa: |
W97M/Suppl |
| Alias:
|
Suppl |
| Tip: |
makro/trojanac |
| Način
širenja: |
e-mailom |
| Veličina: |
|
Destruktivan:
|
da |
| Datum
aktiviranja: |
163
časa posle aktiviranja, virus briše fajlove
sa određenim ekstenzijama |
| Otkriven:
|
17.09.1999.
|
OBJAŠNJENJE
Ovo
je kombinovani klasični makro virus koji u sebi
sadrži EXE fajl koji je trojanac.
Dobija se kao attachment u e-mailu kao dokument
SUPPL.DOC. Ovaj virus je po nekim karakteristikama
sličan W32/Ska virusu.
Prilikom
aktiviranja pristiglog fajla, ako je makro zaštita
u MS Wordu isključena, virus će izmeniti WSOCK32.DLL.
Ovako izmenjeni fajl je zadužen za njegovo dalje
repliciranje. Virus kreira sledeće fajlove
u direktorijumu C:\Windows:
WININIT.INI
( 143 bajtova)
DLL.LZH ( 6,712 bajtova)
DLL.TMP (16,384 bajtova)
ANTHRAX.INI (38,968 bajtova).
Fajl
DLL.TMP je u stvari kopija originalnog
WSOCK32.DLL fajla, koji se nalazi u direktorijumu
C:\ WINDOWS \ SYSTEM. Virus kreira fajl
pod imenom WSOCK32.DLL a postojeći isti
fajl preimenuje u WSOCK33.DLL. Fajl DLL.LZH
će biti preimenovan u WSOCK32.DLL. Kreirani
fajl ANTHRAX.INI nema nikakvu funkciju,
a i nema nikakve veze za poznatim virusom Antrax
još iz DOS dana.
Postoji
jedna rutina u virusu, po kojoj ce virus posle
163 sata postojanja na nekom sistemu pretražiti
sve diskove za fajlovima koji nose ekstenziju:
*.DOC, *.XLS, *.TXT, *.RTF, *.DBF, *.ZIP, *.ARJ
i *.RAR. Ovi fajlovi ce biti "nulirani",
tj. veličina će im biti 0 bajtova.
Svaki
e-mail poslat preko ovako zaraženog sistema će
u svom attachmentu imati fajl: "SUPPL.DOC".
Posle infekcije je moguće videti kako je fajl
NORMAL.DOT postao veći u odnosu na normalnu
veličinu.
Ovaj
virus je jedno vreme kružio i news grupama koje
se bave sexom a najčešće ga je bilo u alt.sex.phone.
REŠENJE
Preimenovati
postojeci fajl WSOCK33.DLL u WSOCK32.DLL.
Mada je bolje reinstalirati ceo Windows.
Moja
preporuka je držati osveženi antivirusni
program.
|
