Win32.Worm.Duni.A

Tip: Vierme Marime: ~500 Kbytes Raspandire: redusa Risc: Redus Simptome: Fisierele config.sys, k32.vxd in directorul Windows (de obicei: c:\windows); Fisierul zero.exe in directorul

Tip: Vierme Marime: ~500 Kbytes Raspandire: redusa Risc: Redus Simptome: Fisierele config.sys, k32.vxd in directorul Windows (de obicei: c:\windows); Fisierul zero.exe in directorul radacina. Descriere tehnica: Virusul se raspandeste prin email, dar este realizat sa foloseasca doar contactele din MSN Messenger. Virusul este atasat ca un fisier cu extensia ".cpl". Fisierele ".cpl" sunt identificate de Windows drept parti componente ale directorului Control Panel si astfel sunt executate. Virusul, cand se executa, cauta toate contactele din MSN Messenger si utilizeaza server-ul SMTP mail.hotmail.com pentru a se raspandi. In acest sens, virusul foloseste 2 fisiere, "commfig.sys" si "k32.vxd" din directorul windows/system. Daca virusul reuseste sa se raspandeasca atunci creeaza fisierul "zero.exe" in directorul radacina. Pentru a se asigura ca virusul va fi rulat la fiecare repornire a sistemului, acesta se va copia in directorul Windows sub un nume ales la intamplare, alcatuit dintr-un numar si va inregistra urmatoarea linie in registrii: HKEY_CURRENT_USER \Software\Microsoft\Windows\ CurrentVersion\Run virusul inregistreaza o linie care arata astfel: 952 rundll32.exe shell1132.dll, Control_RunDLL C:\WINDOWS\952.cpl Dupa fiecare rulare, virusul ramane rezident si cauta, in mod continuu, cateva fisiere antivirus, stergandu-le daca le gaseste. Fisierele pe care incearca sa le stearga: "C:\archiv~1\perav\pav.dll", "C:\archiv~1\perav\per.dll", etc.. De asemenea, virusul cauta inregistrarile si incearca sa disloce niste antivirusi. Virusul foloseste o modalitate alternativa de infectare: daca utilizatorul are instalat KaZaA atunci virusul va cauta valoarea inregistrarii HKEY_CURRENT_USER\Software \Kazaa\Transfer\D1Dir0 care arata calea spre directorul de descarcare KaZaA, iar virusul se va copia acolo sub unul dintre numele urmatoare, devenind astfel disponibil pentru descarcare si de catre alti utilizatori KaZaA: Virusul foloseste un truc simplu, adica se numeste ceva de genul "file.zip" si dupa aceea completeaza cu spatii albe pana la extensia finala care este ".cpl", astfel incat utilizatorul nu este avizat asupra faptului ca virusul are extensie dubla. Exemplu: "file.zip. .cpl" Dezinfectie: - dezinfectie automata: lasati un antivirus sa stearga / sa dezinfecteze fisierele infectate. Nota: Virusii din aceasta rubrica au fost analizati de Softwin si pot fi eliminati cu antivirusul BitDefender.