VIRUS INFO
|
| Naziv
virusa: |
Troj_The_Thing.B |
| Alias:
|
The_Thing.B |
| Tip: |
remote
access trojanac |
| Način
širenja: |
|
| Veličina: |
8
192 bajtova |
Destruktivan:
|
da |
| Datum
aktiviranja: |
|
| Otkriven:
|
22.06.2000.
|
OBJAŠNJENJE
Ovo
je trojanac-hakerska alatka koje omogućava mediatoru
da pristupa Vašem računaru.
Stiže kao e-mail Microsoftove mailing liste.U
telu poruke će Vam biti objašnjeno da fajl u attachmentu
predstavlja sigurnosni update za Microsoft Internet
Explorer.
Kao attachment stiže fajl: IE0199.EXE.
Kada
se pristigli fajl startuje, trojanac postavi sledeći
ključ u Registry bazu:
HKEY_LOACAL_MACHINE \ SOFTWARE \ MICROSOFT
\ WINDOWS \ CURRENT VERSION \ RUN DEFAULT = "IE0199.EXE".
Sa ovom
izmenom trojanac će se startovati svaki put kada
startujete Windows.
Kada
ste konektovani na Internet, trojanac će se konektovati
na sajt http://205.188.147.55 koji predstavlja
ICQ komunikacioni centar i poslaće poruku
na ICQ broj 29839368 čiji je vlasnik
BLADE. Poruka će biti sledeće sadržine:
Subject: the tHing 1.5
Telo poruke: User is ONLINE.
Kada
pošalje tu poruku, mediator (u ovom slucaju BLADE)
će znati da na Vašem računaru postoji instaliran
serverski deo ovog trojanca. On ce moći, dok ste
konektovani, da na Vašem računaru radi sledeće
operacije: da briše fajlove, snima/šalje fajlove,
startuje programe. Mediator može čak i da Vam
pošalje neki drugi virus, koji je daleko destruktivniji
od samog trojanca i da ga startuje i da izgubite
kompetno sve podatke.
REŠENJE
Restartujte
Microsoft Windows u MS-DOS mod i obrišite
sledeći fajl:
C:\ WINDOWS \ SYSTEM \ IE0199.EXE.
Obrišite i sledeći ključ u Registry bazi:
HKEY_LOACAL_MACHINE \ SOFTWARE \ MICROSOFT
\ WINDOWS \ CURRENT VERSION \ RUN DEFAULT
= "IE0199.EXE".
Osvežite
antivirusni program i nabavite neki program
koji
će da Vas štiti od upada na Vaš računar.
Ja u ovo slučaju preporučujem ZoneAlarm.
|
