Win32.Worm.SupovaWorm.P2P.Supova (AVP)

Tip: Executabil P2P Worm Marime: 40960 (A), 45056 (B), sau 49152 (C) Raspandire: Medie Pericol: Redus Simptome: Unul sau mai multe fisiere denuite Alles-ist-vorbei.exe, Desktop-shooting.exe,

Tip: Executabil P2P Worm Marime: 40960 (A), 45056 (B), sau 49152 (C) Raspandire: Medie Pericol: Redus Simptome: Unul sau mai multe fisiere denuite Alles-ist-vorbei.exe, Desktop-shooting.exe, Hello-Kitty.exe, BigMac.exe, Hellokitty.exe, Cheese-Buger.exe sau Blaargh.exe in directorul Windows, cu marimea mentionata mai sus: Inregistrarea HKLM\Software\Microsoft\ CurrentVersion\Run\SuperNova din registrii Windows, cu referinta la unul din fisierele de mai sus; O multime de copii ale virusului (cu diferite nume, dar toate cu marimea de aproximativ 40/44/48 KB) in directorul Windows Media (de obicei: C:\Windows\Media sau C:\WinNT\Media). Descriere tehnica: Acesta este un alt virus care foloseste reteaua de partajare a fisierelor Kazaa pentru a se raspandi; incearca sa se inmulteasca prin MSN Messenger. Toate cele trei variante au fost scrise in Visual Basic. La rulare, virusul afiseaza uneori un mesaj, in incercarea de a pacali utilizatorul ca aplicatia pe care tocmai a descarcat-o nu functioneaza. Cand utilizatorul apasa butonul OK, virusul se copiaza in directorul Windows, folosind unul din urmatoarele nume: Alles-ist-vorbei.exe Desktop-shooting.exe Hello-Kitty.exe BigMac.exe Hellokitty.exe (numai ver. A) Cheese-Buger.exe Blaargh.exe (numai ver. B si C), un fisier de text cu numele ales la intamplare (de ex. 19058880607.txt) este creat in directorul Windows, continand urmatorul text: pentru versiunea A: W32.Supernova 'Patch the leaks or the ship will sink' Textul pentru versiunile B si C este: W32.Supernova - Ban religion Religion = War Religion = Based on fairytales Wars based on fairytales? Ban religion, welcome to the truth Viermele se autocopiaza apoi in subdirectorul Media din Windows, folosind nume codate "hard" ale unor aplicatii software cautate, pentru a pacali utilizatorii Kazaa sa le descarce; lista numelor difera usor de la o versiune la alta (sunt 37 de nume pentru versiunea A, 54 pentru versiunea B si 66 pentru ver. C). Virusul intra apoi intr-o secventa de reluare infinita; modifica intotdeauna valorile urmatoarelor chei de registrii Windows: - HKLM\Software\Microsoft\ CurrentVersion\Run\SuperNova (valoarea acestei chei cauzeaza copierea virusului in directorul Windows pentru a fi lansat la fiecare pornire a calculatorului); - HKCU\Software\Kazaa\ LocalContent\Dir0 (aceasta intrare are rolul de a adauga directorul Media al Windows la lista directoarelor partajate la Kazaa); - HKCU\Software\Kazaa\ LocalContent\DisableSharing = 0 (valoarea acestei chei este 0 pentru a activa partajarea fisierelor cu ceilalti utilizatori ai Kazaa). Motivul pentru care virusul face aceste modificari in registrii in mod repetat este acela de a impiedica utilizatorul sa le schimbe in incercarea de a opri actiunile viermelui. Nota: Virusii din aceasta rubrica au fost analizati de Softwin si pot fi eliminati cu antivirusul BitDefender.