18-02-04 11:25
Novi crv W32/Tanx-A
piše ACO DMITROVIĆ
Primijećen je novi crv koji napada Microsoft Windowse. Sophos ga je nazvao W32/Tanx-A, ali je poznat i po imenima Worm.YoursID i Bagle.B.
Virus šalje poruke s varijabilnim sadržajem, ali se može prepoznati po nekoliko karakteristika:
Subject: ID <proizvoljni znakovi>... thanks
Message text: Yours ID <proizvoljni znakovi>
--
Thank
Attached file: <proizvoljni znakovi>.exe
Kada se klikne na prilog, u System mapu snimi se datoteka AU.EXE. U Registry se ubaci slijedeći tekst:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\au.exe
= <windows system folder>\au.exe
Nakon toga virus će se pokrenuti pri svakom uključivanju računala. Pretraživati će diskove u potrazi za datotekama s ekstenzijom WAB, TXT, HTM and HTML, tražeći u njima e-mail adrese, kako bi ih iskoristio za popunjavanje polja za pošiljatelja i primatelja u zaglavlju poruke.
Nakon toga virus otvara backdoor na portu 8866 i javlja se na adrese
www.47df.de
www.strato.de
intern.games-ring.de
kako bi se "registrirao" s koristeći jedinstveni ID. U Registry inficiranog računala još dopiše:
HKEY_CURRENT_USER\Software\Windows2000 "frn"
HKEY_CURRENT_USER\Software\Windows2000 "gid"
Virus će se prestati širiti nakon 25. veljače.
Sophosova analiza:
http://www.sophos.com/virusinfo/analyses/w32tanxa.html
Upute za čišćenje:
http://www.sophos.com/support/disinfection/worms.html
McAfee je virus nazvao W32/Bagle.b@MM:
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101030
|