Dátum: 2001. november 28., 11:52
Feladó: Szánthó Lajos --
Tárgy: Elsosegely virus ugyben
Sziasztok!
A Tavcso lista megnovekedett forgalma ma delelott 2db virusos levelet is
hozott.
A virus leirasat Vigh Lajos ismertette a Tavcso listan kb 20 perccel azutan,
hogy egy virusos level Borcsok Zoltan cimerol (o valoszinuleg nem is tud
rola) beerkezett "Re:Illes Tibor" cimszo alatt (szerintem o se tud rola)
Majd ugyanabban a csomegben egy altalam ismeretlen feladotol "Re:__" neven
meg egyet!
Roviditve idezem:
Az idezet utan folytatodik a sajat level, kerem tovabb olvasni!
> I-Worm.Badtrans II
> ---------------------
>
> Ez a féreg Win32 rendszereken terjed. A vírus email üzeneteket
> küld fertozött melléklettel, és egy trójai kém programot is telepít,
> amely információkat lop a fertozött géprol. A vírust eloször 2001.
> novemberben
> észlelték, és 24. után már számos Európai fertozés is történt.
>
> A féreg maga egy Win32 végre hajtható fájl (PE EXE file). A
> hossza kb. 29 Kb, de ez kitömörítés után körülbelül 60 Kb.
>
> A féreg két összetevobol áll: egy féreg részbol és egy trójai programból.
> A féreg rész fertozött üzeneteket küld, míg a trójai komponens
információkat
> továbbít
> (felhasználói adatok, Remaote Access Service adatok, jelszavak,
billentyuzet
> leütések naplója) a fertozött számítógépekrol egy meghatározott email
> címre. A keylogger program benne van a víruskódban is és képes telepíteni
> azt
> egy másik gépen is.
>
> A levél Tárgy/Subject: megjelölése vagy üresen van hagyva, vagy a "Re:"
> (válasz) jellel kezdodöen egy
> az Inbox dossziéban valóban létezo levélbol kerül felhasználásra - a
> hitelesebb megtévesztés érdekében.
>
> Az üzenet törzse üres.
>
>
> A féreg nem küldi el a fertozött üzenetet kétszer ugyanarra a címre.
> (ez volt a módszer a Magistr esetében is).
> Ennek érdekében eltárolja az érintett email üzeneteket a
> a Windows System könyvtárban egy PROTOCOL.DLL nevu állományban és
> új levél küldése elott ellenorzi, hogy nem szerepel-e már benne.
>
> A féregnek ezt a variánsát 2001. nevember 24-én fedezték fel eloször.
> Magát beinstallálja a Windows System könyvtárba KERNEL32.EXE néven és
> az alábbi bejegyzést írja a regisztrációs adatbázisba:
>
> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
> Kernel32 = kernel32.exe
>
>
> Létrehozza a leütéseket kémlelo KDLL.DLL nevu programot. A billentyu
> leütéseket
> egy CP_25389.NLS nevu állományba gyujti és azt a
> email címre próbálja meg továbbítani.
>
> Az F-Secure és Kaspersky Anti-Virus programok a 2001. november 25-i
> frissítéssel
> már felismerik és irtják.
>
> Az F-Secure cég lapján szerepel egy regisztrációs bejegyzést törlo
állomány
> is,
> ez az alábbi linken érheto el:
>
> ftp://ftp.europe.f-secure.com/anti-virus/tools/bt_b_dis.reg
>
>
> Regards / udvozlettel:
> ========================================
> Istvan CSIZMAZIA
> 2F 2000 Kft Anti-Virus Technical Support (KLC)
> http://www.2f.hu Tel: +361 4887700
> ========================================
A fent emlitett 3 filet rogton megtalaltam a Windows\System alkonyvtarban,
pedig a beerkezo uzenetet nem nyitottam meg, es az online uzemmodot azonnal
befejeztem!!!!
A 2F 2000 KFT-vel valo telefonos beszelgetes utan sikeresen toroltem a fenti
3 allomanyt. (kernel32.exe, kdll.dll, es cp_25389.nls)
Figyelem, a fenti 3 file "archiv" jellegu, tehat DOS-bol lehet csak torolni.
(NEM a Windows DOS ablakabol, mert arra nem reagal, hanem a kikapcsolas
elott kerdezett "Kikapcsol, Ujra Startol, DOS-szint" kozul kell a DOS-t
kivalasztani.)
Ezek utan a Windows-nak a SYSTEM alkonyvtaraban kell MEGVALTOZTATNI a fenti
3 file attribuciojat (minusz "a" jelenti az archiv attribut feloldasat).
Azaz (attrib -a kernel32.exe) s ezek utan torolni a (del kernel.exe)
utasitassal.
Ugyanezt kell eljatszani a masik kettovel is.
Visszalepve a Windows directoryba, a WIN parancs begepelesevel terhetsz
vissza a Windowsba.
(Bocs, hogy ezen a szinten irtam, de biztos lesz valaki, aki nem ismeri ki
magat a DOS-ban es segitseget jelent a fenti reszletes megfogalmazas)
A 2F 2000 KFT programozoja elmondta, hogy valoszinuleg csak a fenti 3 file
tartozik a virushoz.
Tehat e 3 file eltavolitasa utan gepunk ismet egeszseges!!!
Kezdok figyelem: A kernel32.DLL kiterjesztessel a Windows sajat file-ja.
Enelkul a Windows egyaltalan nem mukodik!!!!!!!!
Tehat CSAK az EXE kiterjesztesut kell torolni! Ennek letrehozasi datuma
pedig a fertozes idopontja (ez a DOSban begepelt dir/p listazasnal lathatova
valik), tehat ha valaki ezutan az idopont utan Online volt, akkor a virus
mar "dolgozott"!
Sok sikert, reszemrol ujra virusmentesen:
lajos
-szn-
Lajos E. Szantho
Kapuzinerstr.1,
A-4020 Linz an d. Donau
Tel/Fax: +43 70 783983
Mobil: +49 171 6135702
E-Mail: