Съветите на Panda
Категория: Интернет
неделя, 10 Февруари 2002 0:00ч
Spida.B е проектиран да се сдобива с пароли от инфектирания компютър и да ги изпраща до някои e-mail адреси. За своето разпространение червеят търси сървъри (с инсталиран Microsoft SQL), чиито IP адреси не започват с 10, 127, 172 или 192. Връзката, установена от вируса за свързване с други компютри, минава през порт 1433. След като намери сървър със споменатите по-горе характеристики, Spida.B копира файловете си в него и изпраща паролите, с които се е сдобил от засегнатия компютър, до следния e-mail адрес: ixltd@postone.com. Изпратеното съобщение, което съдържа файл, наречен Send.txt, има subject SystemData.
За да извърши това действие, Spida.B използва следните компоненти: services.exe: скенер, използван да открива уязвими системи; sqlexec.js: файл, който позволява на червея да стартира команди; clemail.exe: shareware приложение, което позволява на съобщението да бъде изпратено от командния ред; sqlprocess.js: файл, който добавя запис в Windows Registry, премествайки и елиминирайки файлове; sqlinstall.bat: копира файла на червея в системата; sqldir.js: набира информация от системата; timer.dll: допълнителен файл; samdump.dll: допълнителен файл; pwdump2.exe: сдобива се с паролите.
Съветът на Panda: Ако сте получили този вирус по e-mail и вашата антивирусна програма го е засякла, изтрийте полученото съобщение от Inbox и от папката Deleted Items. След това обновете антивирусната си програма с последните вирусни дефиниции, които са на разположение. В Windows Registry изтрийте следните ключове:
Dsquery dbmssocn, намерен в HKEY_
LOCAL_MACHINEsoftwaremicrosoft
mssqlserverclientconnectto
ImagePath %COMSPEC% /c start netdde && sqlprocess init и
Start 2, който се намира в HKEY_LOCAL_MACHINESystemCurrent
ControlSetServicesNetDDE
Друг интересен вирус е W32/Win64.A - червей, който променя достъпа до URL. Той се опитва да се свърже с19 URL, принадлежащи на различни комуникационни компании през порт 80 (http). Достъпът до тези URL от различни компютри може да предизвика DoS (забрана на услуга) на атакуваните сървъри. Червеят променя достъпа до URL на всеки 45 секунди. W32/Win64.A е
31 232-байтов червей, компресиран с PE-Pack и UPX и написан на Visual C++, който установява SMTP връзка с подразбиращия се пощенски сървър и се самоизпраща до всички входове в адресната книга. Съобщението, което изпраща чрез e-mail, има следните характеристики: Subject: Re: Do your Windows looks like Windows XP? I have found very nice desktop themes!
Тяло на съобщението: Hello!
Do you like modern design of new Windows XP?! I have found FREE and easy to use desktop themes! You can open attach with web site and samples! Enjoy it!!!
Прикрепен файл: www.freedesk
topthemes.com (разширението на този файл може да е и някое от следните: .m, .exe, .bat, .cmd).
W32/Win64.A създава следните файлове:
status.ini - създаден в директория Windows; setup.exe - създаден в Windows startup директория на компютри, чиято операционна система е на английски. Този файл се зарежда всеки път, когато компютърът се стартира.
Съветът на Panda: Ако сте получили e-mail съобщение с характеристики, описани по-горе, НЕ ОТВАРЯЙТЕ СЪОБЩЕНИЕТО И НЕ СТАРТИРАЙТЕ ПРИКРЕПЕНИЯ ФАЙЛ. Ако вече сте направили това, вирусът ще опита да се самоизпрати. За да предотвратите изпращането му, изтрийте напълно съобщението.
Ако имате инструмент за филтриране на съобщенията, можете да филтрирате тези, съдържащи файл www.freedesktopthemes.com (разширението на този файл може да е и някое от следните: .m, .exe, .bat, .cmd).
Обновете антивирусната си програма с последните вирусни дефиниции.
