Win32.Apbost.A@mm

Tip: Mass Mailer, Worm, Script and Executable Infector Marime: 204800 bytes Risc: Mare Simptome: - Prezenta appboost.exe in %windir% Attention! Acest fisier este ascuns si este posibil sa nu poata

Tip: Mass Mailer, Worm, Script and Executable Infector Marime: 204800 bytes Risc: Mare Simptome: - Prezenta appboost.exe in %windir% Attention! Acest fisier este ascuns si este posibil sa nu poata fi vazut prin utilizarea setarilor prestabilite din Explorer. Prezenta appbsvc.exe in %windir%. Prezenta urmatoarei chei in registrii HKEY_CURRENT-USER\Software\Microsoft\Mails\%number% ce contine o secventa binara. - Fisierele executabile infectate au schimbat icon-urile cu cele prezentate aici: Descriere tehnica: Virusul se raspandeste prin diferite metode. Acesta poate veni ca atasament infectat al unui mail, caz in care acesta foloseste vulnerabilitatea IE care permite executarea fisierului atasat fara a avea nevoie de permisiune astfel incat este suficient sa vizualizezi/previzualizezi e-mail-ul pentru a te infecta. Odata executat codul, virusul se copiaza ca %windir%\appboost.exe cu atribute ascunse si ca %windir%\appbsvc.exe cu atribute obisnuite. Dupa aceea, virusul inregistreaza appbsvc.exe ca sistem al procesului - nu poate fi neutralizat folosind task manager sub WinNT/2k/Xp - si appboost.exe ca si comenzi implicite de tip shell open pentru fisierele .BAT, .CMD, .COM, .EXE, .PIF si .SCR. Fisierele executabile enumerate mai sus sunt infectate doar daca sunt deschise folosind comenzi de tip shell open (ex.: folosind Explorer). Datorita unor bug-uri existente in aceasta versiune a virusului, acesta va paraliza diferite sisteme prin prezenta unor rapoarte de eroare. Virusul infecteaza fisierele php3 (.ohp, .php3 si .phtml) prin anexarea codului php care scaneaza si infecteaza toate fisierele php pe care le gaseste in sistem si, dupa aceea, adauga un utilizator la server-ul apache (daca server-ul exista) pentru a permite atacuri de la distanta si manipuleaza anumite script-uri pentru mIRC/. Fisierele partajate pentru KaZaa sunt create cu executabile de virusi cu nume compuse dintr-o combinatie de cuvinte gasite pe calculatorul victimei precum si cateva cuvinte prestabilite cu diverse extensii executabile ).bat, .cmd, .exe, .pif, etc. Datorita metodei de infectie specifice virusilor scrisi in limbaje complexe precum si datorita prezentei unor bug-uri majore in codul virusului, sistemul infectat devine instabil relativ repede si are o mare probabilitate de esuare la repornirea sistemului. Virusii din aceasta rubrica au fost studiati de Softwin si pot fi eliminati cu antivirusul romanesc BitDefender (AVX).