Gość: yog
IP: 213.199.201.*
25.01.05, 19:32
zlapalem tego wariata; szukam wszedzie i nigdzie nie pisze jak sobie z nim porzdaic; ktos moze mi pomoc pozbyc sie tego syfu z dysku? oczywiscie formatka w ostatniej kolejnosci;
oto co pisza o tym w necie:
Maslan.A, i jego "brat" oznaczony literką C - najnowsze z odnotowanych szkodników, w pełni zasłużyli sobie na miano Hybrydy. Są to bowiem wormy które do rozprzestrzeniania się i szkodliwego działania wykorzystują wiele dróg i metod : zarówno używają massmailingu, exploitów, jak i stosują rozwiązania znane z root'kitów
Ponadto zawierają w sobie keyloggera są zatem w stanie wykradać hasła. Mają one też dodatkowo właściwości backdora i mogą być sterowany via IRC. Dla zapewnienia sobie większej swobody działania oba szkodniki wyłączają oprogramowanie antywirusowe oraz zabezpieczające komputer (firewalle, antytrojany, antyspyware itd)
Szkodnik z tej rodziny może się pojawić w komputerze ofiary jako załącznik do maila ( nie jest to jedyna droga infekcji) o tytule : 123 (łatwo się domyślić, że podszywa się w ten sposób pod znaną firmę rozsyłającą kartki okolicznościowe - 123Greetings card ), Maslan.C natomiast zatytułuje maila : 12345 . Pole od jest jak zwykle zafałszowane, nazwa dołączonego załącznika to PlayGirls.exe lub PlayGirls_2.exe
Po dostaniu się do systemu worm rozpoczyna następujące działania :
1. tworzy niektóre z następujących plików:
%system%\___j.dll (w ten sposób cześć szkodnika jest "wstrzykiwana" do wnętrza svchost.exe)
%system%\___r.exe (tu znajduje się podstawowa , wykonywalna cześć worma)
%system%\___synmgr.exe (rozpoznawana jako W32.IRCBot)
%system%\___n.exe (rozpoznawana jako W32.IRCBot)
%system%\___e (zawiera robaka zakodowanego MIME)
%system%\___u (zawiera mechanizm uwalniający worma)
maslan.c takze :
%System%\___prior
%System%\___m
%System%\___t
%Windir%\___n.exe
%System%\___AlaScan
2. włącza bibliotekę ___j.dll do wnętrza procesu svchost.exe
3. tworzy lub nadpisuje nową treścią następujące pliki:
%system%\Alaftp
%system%\AlaMail
%system%\AlaScan
%system%\AlaDdos
Maslan .C dodatkowo jeszcze :
%System%\___prior
%System%\___m
%System%\___t
Szkodnik będzie ich używał do przechowywania zdobytych danych
4. dodaje do klucza
HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\R un
wartosci : Microsoft Synchronization Manager"="___synmgr.exe"
"Microsoft Windows DHCP"="___r.exe"
dzięki ktorym worm będzie zawsze uruchamiany razem z Windows
5. Uruchamia plik ___r.exe
oryginalnie , plik ten pisze po własnej przestrzeni adresowej powodując jej zatarcie i zawieszenie procesu inne procesy worma pracują bezawaryjnie
6. W kolejnym kroku szkodniki z rodziny Maslan wyłączają programy odpowiedzialne za ochronę antywirusową, firewalle, programy wykrywające i usuwające trojany m.in:
ZONEALARM, VIRUSMDPERSONALFIREWALL, OUTPOST, ANTI-TROJAN, KERIO-WRP-421-EN-WIN, Programy z rodziny Symantec, JAMMER, GUARDDOG,DRWATSON, CLEANER, AVP i inne
7. Używając technik znanych z narzędzi rootkit chroni swoje procesy przed wykryciem ich przez użytkownika. Może to spowodować błędne działanie Task Managera.
8. Wykorzystując lukę DCOM RPC poszukuje w sieci komputerów podatnych na lukę rpc
9. Uruchamia backdora na zdalnym kanale IRC i nasłuchuje ewentualnych poleceń
10. Monitoruje otwarte okna Internet Explorera na okoliczność wystąpienia następujących fraz:
evocash , e-bullion , e-gold , mail , bank , trade , paypal
jeśli robak wykryje , iż któreś z okien zawiera taki właśnie ciąg znaków, uruchamia Keyloggera a następnie wysyła uzyskane ta droga dane, na zaprogramowany wcześniej serwer.
Przeszukuje twardy dysk w poszukiwaniu plików posiadających w swoich ścieżkach dostępu następujące ciągi znaków:
distr, download, setup, share,
oraz posiadające jedno z następujących rozszerzeń :
rar , zip, pif, exe
jeśli szkodnik znajdzie pliki spełniające te kryteria kopiuje ich oryginalną zawartość specjalnie utworzonego podkatalogu ___b ( w którym zachowa oryginalna nazwę oraz ścieżkę dostępu a sam nadpisuje treść właściwego pliku zawartością %System%\___u) i zmienia rozszerzenie pliku na .exe
Ponadto Maslan.C może stworzyć Katalog : [197 A characters] zawierający plik [197 A characters].RAR
Na koniec robak rozsyła swoje kopie za pomocą poczty elektronicznej do wszystkich adresatów, których adresy odnajdzie w plikach z rozszerzeniami: adb, asp, cfg, cgi, dbx, dhtm, eml, f, htm, jsp, mbx, mdx, mht, mm, msg, nch, ods, oft, php, sht, shtm, stm, tbb, txt, uin,wab, wsh, xls, xml.
zródłó: www.infoprof.pl/raportywirusy.php?id=041211193832&tab=NEWSALERTWIR
jesli ktos moze pomoc to z gory podziekowal;
