[ virus.neobee.net ]

VIRUS INFO
Naziv virusa:	I- Worm.Winevar.A
Alias:	Win32/Winevar.A, W32.HLLW.Winevar, W32/Korvar, Korean Worm
Tip:	worm
Način širenja:	e-mailom
Veličina:	12,7 Kb
Destruktivan:	da
Datum aktiviranja:	otvaranjem pristigle pošte
Otkriven:	24.11.2002.

OBJAŠNJENJE
Stiže kao e-mail sa sledećim karakteristikama:

From: <primaoc ili "AntiVirus"> < e-mail adresa primaoca >
To: <e-mail adresa primaoca>

Subject:
Re: AVAR(Association of Anti-Virus Asia Reseachers) ili
N`4?<registered organisation or "Trand Microsoft Inc.">

Telo poruke:
AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish.

ili

<primaoc> - <registrovana organizacija>

Attachment će činiti dva fajla:
WIN_nasumično_odabrani_broj>.GIF (120 bajtova) (primer: MUSIC_2.GIF)
WIN_nasumično_odabrani_broj>.HTM (12.6 Kb) (primer: MUSIC_1.HTM)

Pošto crv koristi ranjivost Microsoftovog IFRAM-a, dovoljno je da korisnik samo pogleda primljeni e-mail i biće zaražen.
Crv će kreirati sledeći fajl:

C:\ WINDOWS \ SYSTEM \ WIN_neki_nasumični_broj.PIF

i kreitaće sledeće ključve u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
WIN_neki_nasumični_broj.PIF = C:\ WINDOWS \ \SYSTEM \ WIN_neki_nasumični_broj.PIF

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run WIN_neki_nasumični_broj.PIF = C:\ WINDOWS \ \SYSTEM \ WIN_neki_nasumični_broj.PIF

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
WIN_neki_nasumični_broj.PIF = C:\ WINDOWS \ \SYSTEM \ WIN_neki_nasumični_broj.PIF

Na ovaj način će se startovati svaki put kada korisnik startuje Windows.

Nešto kasnije crv će kreirati i ikonicu na radnu površinu EXPLORER.PIF.

Crv ima u sebi algoritam po kojem će na svakih 1024 sekundi, ako naiđe na program koji je učitan u memoriju a odgovara naziv sa spiska, isključiti taj program:
view, debu, scan, mon, vir, iom, ice, anti, fir, prot, secu, dbg, avk, pcc, spy, microsoft, ms, _np, r n, cicer, irmon, smtpsvc, moniker, office, program i explorewclass.

Ako se korisnik ne konektuje na Internet, crv će aktivirati drugog crva kojeg nosi sa sobom: W32.Funlove.4099.

Ovaj crv može da bude jedan od dobrih primera DoS napada na neki sajt. Pošto ovaj crv ima kôd kojim se, kada je korisnik na Internetu, povezuje na sajt Symantec-a (www.symantec.com).
Crv će se poslati na sve e-mail adrese koje pronađe u korisnikovom e-mail klijent programu, osim na one koje nose u nastavku e-mail adrese imaju @microsoft.

Prilikom zaražavanja korisnikovog računara, posle 512 milisekundi, korisniku će se pojaviti sledeća poruka. ()

Crv će kreirati i sledeće ključeve u Registry bazi:
HKEY_CLASSES_ROOT\.ceo
(Default) = exefile

HKEY_CLASSES_ROOT\.ceo
Content Type = application/x-msdownload

Ovim ključevima će biti omogućeno da se svaki fajl sa ekstanzijom *. CEO mogu startovati kao bilo koji *.EXE fajl.

U okviru HTM fajla koji korisnik dobije u e-mailu nalazi se i link ka http://aavar.org.

Crv ima u sebi deo teksta koji korisnik ne vidi:
~~ Drone Of StarCraft~~
http://www.sex.com/

Ovaj crv predstavlja neku od varijanti već poznatog crva Braid.a. ()

REŠENJE
Preuzmite cleaner ().
Da se ne bi zarazili ovim i sličnim virusom potrudite se da instalirate ispavku.
Detalje oko ove ispravke pogledajte .

Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.