Nová vírusová hrozba má meno Sobig.F

Branislav Vrzoň  /  23. 08. 2003, 00:00

Pozor na vírusy! / Nie je to tak dávno, čo po naších linkách šarapatil vírus Blaster, už tu máme hrozbu novú. Prvý a najnebezpečnejší je červ Sobig.F. Ďaľšie vírusové nebezpečenstvo hrozí z klona populárného Blastera - vírusu Nachi. Tretí vírus, Dumaru.A, sa tvári ako ochrana pred už spomínaným Blasterom a inými vírusmy.

Vírus Sobig.F sa šíri ako súbor v prílohe správ elektronickej pošty. K šíreniu používá adresy získané zo súborov s příponou WAB, DBX, EML, TXT, HTM, HTML, adresa odosielatela je falšována.

Win32/Sobig.F prichádza so správou, ktorej predmet správy červ vyberá z nasledovného zoznamu:

Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Details Your details
Re: Approved
Re: Re: My details Thank you!

Telo správy tvorí jediná veta vyberaná z dvoch možností:

Please see the attached file for details.
See the attached file for details

Príloha obsahujúca červa môže byť:

application.pif
details.pif
document_9446.pif
document_all.pif
movie0045.pif
thank_you.pif
your_details.pif
your_document.pif
wicked_scr.scr

Po spustení sa červ skopíruje pod menom winppr32.exe do adresára win (podľa OS). Jeho dĺžka je 72568 bajtov. V registroch vytvorí TrayX vo vetve registra HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Jej hodnotu nastaví na win (podľa OS)\winppr32.exe /sinc

Sobig.F sa dokáže šíriť aj po lokálnej počítačovej sieti, napáda zdielané disky a snaží sa kopírovať do adresára StartUp.

Liečenie:

Na liečbu môžeme použiť napr. programy AVG a NOD32, ktoré tento vírus zaručené poznajú. Liečba spočíva vo vyhľadaní a zmazaní súboru s vírusom. 

Može sa stať že napadnuté súbory sa stále obnovujú. Pravdepodobne máte Windows ME alebo Windows XP. Tieto systémy majú totiž normálne zapnutú schopnosť obnovovať systémové súbory, ktoré si systém automaticky zálohuje do adresára "_Restore".

Riešenie: (od firmy Eset)

Windows ME

  1. Vyvolajte dialóg "Systém - vlastnosti" (System properties) - kliknutím na ikonku počítača "Tento počítač" na pracovnej ploche pravým tlačítkom myši vyvoláte kontextové menu, ktorého poslednou položkou je "Vlastnosti" (Properties)
  2. Aktivujte záložku "Výkon" (Performance), kde sa nachádza tlačítko "Systém súborov" (File system )- kliknutím naň sa vyvolá zodpovedajúci dialóg
  3. V dialógu "Systém súborov - vlastnosti" (File system properties) aktivujte záložku "Riešenie problémov" (Troubleshooting)
  4. Zapnite voľbu "Vypnúť obnovu systému" (Disable system restore)
  5. Po schválení zmeny tlačítkom "Ok" je potrebné na jej uvedenie do platnosti reštartovať systém

Windows XP

  1. Vyvolajte dialóg "Systém - vlastnosti" (System properties) - kliknutím na ikonku počítača na pracovnej ploche pravým tlačítkom myši vyvoláte kontextové menu, ktorého poslednou položkou je "Vlastnosti" (Properties)
  2. Prepnite sa na záložku "Obnova systému" (System restore)
  3. Zapnite voľbu "Vypnúť obnovovu systému" (Turn off System Restore on all Drives)
  4. Po schválení zmeny tlačítkom "Ok" je potrebné na jej uvedenie do platnosti reštartovať systém

Poznámka: Analogickým postupom - kedy voľbu "Vypnúť obnovovu systému" (Turn off system restore on all Drives) zrušíme, sa vrátime ku štandartnému správaniu sa systému. Odporúčame to vždy spraviť - len čo sa vám podarilo zbaviť sa nepohodlných súborov.

Dumaru.A je červ, šíriaci sa ako súbor v prílohe správ elektronickej pošty. Červ má dĺžku 9324 bajtov. Pre svoju činnosť potrebuje operačný systém Windows 95 a novšie.

Prichádza so správou, zdanlivo odoslanou z adresy security@microsoft.com. Predmet správy je tvorený textom Use this patch immediately !. V tele správy sa nachádza text:

Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!

V prílohe správy je súbor patch.exe dlhý 9324 bajtov, obsahujúci telo červa. Po jeho spustení červ v systemovom adresári vytvorí súbor so svojou kópiou dllreg.exe s dĺžkou 9234 bajtov a trójskym koňom windrv.exe dlhým 8192 bajtov. V systemovom adresári vytvorí súbory load32.exe a vxdmgr32.exe, oba s dĺžkou 9234 bajtov, ďalej vytvorí súbor winload.log.

Manipuluje so súbormi system.ini a win.ini. Do sekcie [boot] súboru system.ini doplní riadok shell=explorer.exe C:\WINDOWS\SYSTEM\vxdmgr32.exe a do sekcie [windows] súboru win.ini doplní riadok run=C:\WINDOWS\dllreg.exe. Uvedenú činnosť prevedie len vo Windows 95/98/Me.

Zároveň manipuluje s registrom systému, kde v kľúči
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run
vytvorí položku load32 s hodnotou C:\WINDOWS\SYSTEM\load32.exe. Tieto manipulácie zabezpečia aktiváciu červa Win32/Dumaru.A každom reštarte operačného systému.

Adresy elektronickej pošty pre svoje šírenie získava Win32/Dumaru.A zo súborov s príponami html, htm, dbx, wab, tbb a abd.

NOD32 tento vírus nájde určite, liečenie spočíva z vyhľadania a odstránenia vírusových súborov.

Červ Nachi sa šíri prostredníctvom bezpečnostnej diery v DCOM RPC rozhraní (rovnako ako Lovsan, Blaster) a na napadnutom počítači sa ukladá do sytémového adresára Windows ako súbor DLLHOST.EXE o dĺžke 10240 bytov.

Do rovnakého adresára si vírus tiež ukladá kópiu programu TFTPD.EXE pod menom SVCHOST.EXE. Po spustení vírus vyhľadáva ďalšie nezabezpečené počítača v sieti a kopíruje sa na ne. Vírus sa sám odstráni v roku 2004. Postup odstráňovania je rovnaký ako pri Blasteri. AVG tento vírus pozná v aktuálnej verzií.


Zdroj: www.avg.sk a www.eset.sk

Neprehliadnite: