Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

18-02-04 11:25
Novi crv W32/Tanx-A

piše ACO DMITROVIĆ

Primijećen je novi crv koji napada Microsoft Windowse. Sophos ga je nazvao W32/Tanx-A, ali je poznat i po imenima Worm.YoursID i Bagle.B.

 

Virus šalje poruke s varijabilnim sadržajem, ali se može prepoznati po nekoliko karakteristika:

 

Subject: ID <proizvoljni znakovi>... thanks

Message text: Yours ID <proizvoljni znakovi>

--

Thank

Attached file: <proizvoljni znakovi>.exe

 

Kada se klikne na prilog, u System mapu snimi se datoteka AU.EXE. U Registry se ubaci slijedeći tekst:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\au.exe

= <windows system folder>\au.exe

 

Nakon toga virus će se pokrenuti pri svakom uključivanju računala. Pretraživati će diskove u potrazi za datotekama s ekstenzijom WAB, TXT, HTM and HTML, tražeći u njima e-mail adrese, kako bi ih iskoristio za popunjavanje polja za pošiljatelja i primatelja u zaglavlju poruke.

 

Nakon toga virus otvara backdoor na portu 8866 i javlja se na adrese

 

www.47df.de

www.strato.de

intern.games-ring.de

 

kako bi se "registrirao" s koristeći jedinstveni ID. U Registry inficiranog računala još dopiše:

 

HKEY_CURRENT_USER\Software\Windows2000 "frn"

HKEY_CURRENT_USER\Software\Windows2000 "gid"

 

Virus će se prestati širiti nakon 25. veljače.

 

Sophosova analiza:

http://www.sophos.com/virusinfo/analyses/w32tanxa.html

 

Upute za čišćenje:

http://www.sophos.com/support/disinfection/worms.html

 

McAfee je virus nazvao W32/Bagle.b@MM:

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101030

 





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr