[ virus.neobee.net ]

VIRUS INFO
Naziv virusa:	VBS/Timofonica
Alias:	VBS.Timofonica.A, Timofon.A i VBS/Timofon.A
Tip:	trojanac
Način širenja:	e-mailom
Veličina:	11 492Kb
Destruktivan:	da
Datum aktiviranja:
Otkriven:	1.06.2000.

OBJAŠNJENJE
Ovo je VBS (Visual Basic Script) virus koji se širi e-mail programom Microsoft Outlook 98/2000. Stiže kao e-mail od poznanika kao:

Subject: TIMOFONICA
Telo poruke:
Es de todos ya conocido el monopolio de Telefónica pero no tan conocido los métodos que utilizó para llegar hasta este punto. En el documento adjunto existen opiniones, pruebas y direcciones web con más información que demuestran irregularidades en compras de materiales, facturas sin proveedores, stock irreal, etc. También habla de las extorsiones y favoritismos a empresarios tanto nacionales como internacionales. Explica también el por qué del fracaso en Holanda y qué hizo para adquirir el portal Lycos. En las direcciones web del documento existen temas relacionados para que echéis un vistazo a los comentarios, informes, documentos, etc. Como comprenderéis, esto es muy importante, y os ruego que reenviéis este correo a vuestros amigos y conocidos.
Attachment: C:\TIMOFONICA.TXT.vbs.

Primljeni fajl je virus, koji kada se startuje, prvo proverava da li je već zarazio postojeći sistem. Ovo mu je omogućeno time što prilikom prvog inficiranja nekog računara upiše u Registry bazu sledeći red:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Timofonica=1

Ako je vrednost 1, virus je već bio na ovom racunaru a ako je 0, tj. ako ovaj red ne postoji virus će ga upisati kako se ne bi slao sa istog racunara nekoliko puta i počeće svoje destruktivno dejstvo.

Virus kreira fajl CMOS.EXE u direktorijumu C:\ WINDOWS \ SYSTEM. Registry baza je dopunjena sledećim redom kako bi se virus aktivirao i nakon sledećeg resetovanja sitema:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Cmos=C:\ Windows \ System \ cmos.com.

Virus prilikom sledećeg startovanja sistema preuzima kontrolu nad Outlook Expressom i šalje se na sve e-mail adrese iz Address booka.

Prilikom slanja poruke na domain correo.movistar.net virus će koristiti ime koje se sastoji od nasumično odabranih brojeva koji počinju sa: 609, 619, 629, 630, 639, 646, 649 i 696 (npr. 619987321@correo.movistar.net ili 639867159@correo.movistar.net). To je zapravo SMS "kapija" koja šalje SMS poruke na brojeve mobilnih pretplatnika, te tako crv korisnike ove usluge zasipa neželjenim porukama.

Ovaj red:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ 9.0 \ Outlook \ Preferences \ SaveSent=0,

će virus upisati u Registry bazu kako bi naterao Outlook Express da ne sačuvava poruke koje su poslate od strane virusa. Kasnije virus doda još jedan red u Registry bazu:
HKEY_CLASSES_ROOT \ VBSFile \ Shell \ Open \ Command=C:\ Windows \ Notepad.exe C:\ TIMOFONICA.TXT

kojim se u Notepad programu, prilikom svakog sledećeg pokretanja, prikazuje poruka:

Comentarios
===========
....
Tarifa plana de 6000 pts/mes. Extorsión. A principio de 1.998 tras un seguimiento de su gestión se descubrieron numerosas irregularidades en su gestión, amparadas hasta el momento, en el desconocimiento que nosotros teníamos sobre Internet. Compras de materiales, que nunca apareció por ningún lado, pero si la factura del proveedor.
....
Yo pienso que si Timofonica (ke a fin de kuentas es la duena de Terra) kiere soltar dineros para una ONG, no le hace falta hacer este tipo de acto solidario, es mas, me parece misero y ridikula la kantidad de un millon de pesetas .. Son unos ridikulos de mierda, un millon de pesetas para ellos no es nada, pero un millon de hits en sus paginas mas a final de mes supone una pekena subidita en las acciones de Terra en Bolsa. Total, ke Terra no son las Hermanitas de los Pobres (pobres monjas, kompararlas kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!! Podran decir ke estamos obsesionados, ke tamos en kontra de Timofonika, ke protestamos por vicio, PERO ES KE EN 3 ANOS KE LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !! Lo dicho , todo lo ke güele a Telefonica SUX, o en castellano tradicional , APESTA ! ....

Direcciones
===========
http:// www.telefonica.es/
http:// www.timofonica.com/
http:// 100scripts.islaweb.com / scripting-timofonica.html
http:// www.www2.labrujula.net / wwwboard/messages2/1165.html
http:// www.tinet.org / mllistes / pc / September_1998 / msg00005.html
http:// area3d.area66.com / forotec / _disc1 / 0000015b.htm
http:// wwh.itgo.com / Phreaking.htm
http:// www.rcua.alcala.es / archives / ham-ea / msg00780.html
http:// www.areas.org / debate / dp / 2 / messages/18.html
http:// www.fut.es / mllistes / parlem / January_1999 / msg00208.html

Visita estas páginas. Estás inivitado.

Ovo je i sadrzaj fajla TELEFONICA.TXT koji se nalazi u rootu C diska.

REŠENJE
U Registry bazi treba promeniti sledeće redove:

(za MS Windows 2000)
HKEY_CLASSES_ROOT \ VBSFile \ Shell \ Open \ Command=%SystemRoot% \ System32 \ WScript.exe "%1" %*

(za MS Windows 98)
HKEY_CLASSES_ROOT \ VBSFile \ Shell \ Open \ Command=C:\ WINDOWS \ WScript.exe "%1" %*.

Da biste povratili normalno funkcionisanje Windows Scripting Host treba otkucati sledeći red u command promptu: WSCRIPT //H:WSCRIPT

Treba uvek imati osveženi antivirusni program i paziti se šta dobijate od prijatelja.

Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.