Win32.Apbost.A@mm

Alias: I-Worm.Xiv.a (KAV), WORM_BOOSTAP.A (Trend) Tip: Mass Mailer, Worm, Script and Executable Infector Marime: 204800 bytes Raspandire: Mare Risc: Mare ITW: Necunoscut Simptome: - Prezenta

Alias: I-Worm.Xiv.a (KAV), WORM_BOOSTAP.A (Trend) Tip: Mass Mailer, Worm, Script and Executable Infector Marime: 204800 bytes Raspandire: Mare Risc: Mare ITW: Necunoscut Simptome: - Prezenta appboost.exe in %windir%Attention! Acest fisier este ascuns si este posibil sa nu poata fi vazut prin utilizarea setarilor prestabilite din Explorer. Prezenta appbsvc.exe in %windir% - Prezenta urmatoarei chei in registrii HKEY_CURRENT_USER\Microsoft \Mails\%number% ce contine o secventa binara. Descriere tehnica: Virusul se raspandeste prin diferite metode. Acesta poate veni ca atasament infectat al unui mail, caz in care acesta foloseste vulnerabilitatea. IE care permite executarea fisierului atasat fara a avea nevoie de permisiune astfel incat este suficient sa vizualizezi / previzualizezi e-mail-ul pentru a te infecta. Odata executat codul, virusul se copiaza ca %windir%\appboost.exe cu atribute ascunse si ca %windir%\appbsvc.exe cu atribute obisnuite. Dupa aceea, virusul inregistreaza appbsvc.exe ca sistem al procesului - nu poate fi neutralizat folosind task manager sub WinNT/2k/Xp - si appboost.exe ca si comenzi implicite de tip shell open pentru fisierele .BAT, .CMD, .COM, .EXE, .PIF si .SCR. Fisierele executabile enumerate mai sus sunt infectate doar daca sunt deschise folosind comenzi de tip shell open (ex.: folosind Explorer). Virusul cauta, de asemenea, numele proceselor memoriei si daca acestea contin programe antivirus predefinite / siruri de caractere preferentiale sunt terminate. Mesajele trimise de virus pot avea ca subiect una dintre variantele: "A nice Screensaver of", "Ein netter Screensaver von", "New Version of", "Eine neue Version von", "Important!", "Wichtig!:" si "Angelina Jolie" "Anna Kournikova", "Porn Screensaver", "Sex Screensave", "TvTool", "Flashget", "WarezBoardAccess", "Undelivarable EMail", "Brute Force Tool". Fisierele atasate pot avea mai multe nume. Datorita unor bug-uri existente in aceasta versiune a virusului, acesta va paraliza diferite sisteme prin prezenta unor rapoarte de eroare (ex. "appboot.exe has generated errors and will be closed") si este posibil sa nu mai mearga deloc pe sistemele Win98. Virusul infecteaza fisierele php3 (.php, .php3 si .phtml) prin anexarea codului php, care scaneaza si infecteaza toate fisierele php pe care le gaseste in sistem si, dupa aceea, adauga un utilizator la server-ul apache (daca server-ul exista) pentru a permite atacuri de la distanta si manipuleaza anumite script-uri pentru mIRC/. Fisierele partajate pentru KaZaa sunt create cu executabile de virusi cu nume compuse dintr-o combinatie de cuvinte gasite pe calculatorul victimei precum si cateva cuvinte prestabilite (ex.: "Crack", "Extra Pack - Key Gen", "Performance Fix" etc.), cu diverse extensii executabile (.bat, .cmd, .pif etc.). Datorita metodei de infectie specifice virusilor scrisi in limbaje complexe precum si datorita prezentei unor bug-uri majore in codul virusului, sistemul infectat devine instabil relativ repede si are o mare probabilitate de esuare la repornirea sistemului. Virusii din aceasta rubrica au fost studiati de Softwin si pot fi eliminati cu antivirusul romanesc BitDefender (AVX).