VIRUSUL SAPTAMANII

adevarul

Publicat: 02.03.2004 21:21

Ultima actualizare: 10.08.2022 08:03

W32/Bizex.worm In aceasta saptamana a aparut un vierme ce este trimis sub forma unui hyperlink (o zona de text activa ce trimite utilizatorul la o anumita adresa de Internet) ce apare in programul de

W32/Bizex.worm
In aceasta saptamana a aparut un vierme ce este trimis sub forma unui hyperlink (o zona de text activa ce trimite utilizatorul la o anumita adresa de Internet) ce apare in programul de mesagerie ICQ. Odata rulat pe computerul victima, viermele ascunde directorul SYSMON si continutul acestuia. Cheile din registri adaugate de vierme sunt, de asemenea, ascunse. Nu exista nici o posibilitate de a vedea cheile din registri sau folderul SYSMON cu Regedit sau Windows Explorer. Viermele este constituit din mai multe componente. Infectarea incepe prin accesarea unui domeniu de Internet. Utilizatorul ICQ ar trebui sa blocheze accesul la WWW.jokeworld.biz. Cand acesta este deschis, se descarca fisierul MEINE.SCM(13,502 biti). ICQ plaseaza fisierul intr-un loc cunoscut sub numele STARTUP.WAV. Datorita unei vulnerabilitati a Internet Explorer se executa fisierul IEF*CKER.HTML ce acceseaza winupdate.exe si se downloadeaza un alt fisier denumit APTGETUPD.EXE in zona temporara. Cand ruleaza se instaleaza sub numele de SYSMON.EXE in directorul SYSMON. Urmatoarea cheie este adaugata in registri pentru ca virusul sa se incarce la pornirea sistemului: HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run "sysmon" = C:\WINNT\SYSTEM32\ SYSMON.EXE. Doua componente sunt plasate in directorul System din Windows: JAVA32.DLL (163,840 biti) si JAVAEXT.DLL (98,304 biti). Dupa ce se termina procedura de instalare viermele fura parolele de acces la retea, conturi de internet sau acces online la servicii bancare. Chiar daca majoritatea componentelor devin invizibile cu Regedit sau Windows Explorer, doua componente raman la vedere, si anume fisierele JAVA32.DLL si JAVAEXT.DLL in directorul System din Windows. Prezenta acestora indica infectarea cu acest virus. Procesul de devirusare trebuie sa inceapa prin stergerea acestor doua fisiere si rularea unui antivirus performant (actualizat).