VIRUS INFO
|
| Naziv
virusa: |
I-Worm.Totilix |
| Alias:
|
|
| Tip: |
worm |
| Način
širenja: |
e-mailom |
| Veličina: |
|
Destruktivan:
|
da |
| Datum
aktiviranja: |
13
u mesecu, 2 februara, 5 aprila, 9 maja i 24
septembra |
| Otkriven:
|
6.09.2000.
|
OBJAŠNJENJE
Stiže
kao e-mail:
Subject: Virus Alert Update: New VBS.LoveLetter
Threat
Telo poruke:
Hi Friend,
This mail contains a new AV intelligent updater
for all antivirus.
To install it, execute the attachment file
if you have any problem, send mail at antivirus@hotmail.com.
Attachment: AVUPDATE.EXE, ali ne mora baš
ovaj naziv da ima.
Kada
se crv aktivira, startovanjem pristiglog fajla,
zarazi sve
*.EXE fajlove u Windows direktorijumu. Crv neće
uspeti da inficira sve *.EXE fajlove jer su neki
u tom trenutku učitani u memoriju i Windows neće
to dozvoliti jer su oni u tom trenutku "zaključani".
Znači neće biti inficirani fajlovi kao što su:
EMM386.EXE, SETVER.EXE…
Crv
ubaci i ključ u Registry bazu kako bi obezbedio
da se svaki put startuje kada se MS Windows startuje:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Run - RunAVUpdate =
"naziv_fajla_u_kom_je stigao".
Crv
ubaci i svoj "identifikacioni" ključ:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
AVUpdte \ Install
kako bi znao da li je već zarazio ovaj sistem
i da nema potrebe da menja *.EXE fajlove i da
se šalje na e-mail adrese.
Prilikom
slanja na e-mail adrese crv ne napada Address
Book korisnikovog e-mail programa. Crv koristi
MAPI funkciju za svoje slanje preko e-maila. Kada
korisniku bude prikazana sledeća
poruka.
Korisnik
će odabirom e-maila iz Address Booka poslati svom
prijatelju crva.
Ako korisnik koristi Outlook ili Outlook Express,
biće mu prikazan sledeći
ekran.
Slično
važi i za ostale e-mail programe.
Ako
se pojavi neka greška prilikom slanja e-maila,
biće ispisana jedna od sledećih sledeća poruka:
The recipient requested has not been or could
not be resolved to a unique address list entry
The recipient could not be resolved to any address.The
recipient might not exist or might be unknown
One or more unspecified errors occured
The name was not resolved
There was insufficient memory to proceed
The operation was not supported by the messaging
system
The user was cancelled one or more dialog box
i crv
će obrisati sve fajlove iz direktorijuma C:\WINDOWS.
A,
ako se uspešno pošalje na e-mail koji je korisnik
odabrao, biće obavešten e-mailom kao da ga je
od nekog dobio, a u stvari crv sam generički napravi
sledeći e-mail:
Subject: AV Intelligent Updater
Telo poruke:
Internal error occured when you have launch
this program
Contact antivirus@hotmail.com or others AV.
13 u
mesecu ako je na sistemskom časovniku 30 sekundi
u bilo kojoj minuti, biće prikazana sledeća poruka:
Virus Win32.AVUpdate
Attention, votre PC est en danger!!!!!
Car ceci est ma veritable identite
Veuillez contacter votre centre AV le plus proche
2 februara
će biti prikazana sledeća poruka:
Win32.Eva by Benny, (c) 1999
Hello stupid user, i'm so sorry but i have to
interrupt your work,
Cause i hate this shitty program. Click OK to
continue
Greets to:
Super/29A
Darkman/29A
Jack Qwerty/29A
Billy Belcebu/DDT
And many other 29 Aers...
5 aprila:
Virus Report rev 2.1
SPIT.Win32 is a Bumblee Win32 Virus
Feel the power of spain and die by the SpiT!
9 maja:
Win32.3x3eyes coded by: Bumblee[UC]
This is my last contribution to Ultimate Chaos
team Greetings UC brothers
24 septembra
TOTILIX Presents...
This >TOTILIX< Virus was assembled at the
city of Oporto Portugal!
Gas_par@hotmail.com
(c) 1999 G@SP@R aka Sexus
REŠENJE
Obrisati
bez otvaranja pristigli e-mail.
Ako ste se već zarazili i Windows Vam
radi kako treba, još uvek, treba obrisati
sledeće ključeve u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft
\ Windows \ CurrentVersion \ Run - RunAVUpdate
= "naziv_fajla_u_kom_je stigao"
i
HKEY_LOCAL_MACHINE \ Software \ Microsoft
\ AVUpdte \ Install.
Pronaći
fajl AVUPDATE.EXE ili u pod drugim nazivom
(zavisi pod kojim nazivom je stigao) i obrisati
ga.
Treba uvek imati osveženi antivirusni program.
|
