Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!warszawa.rmf.pl!newsfeed.tpinternet.
pl!news.astercity.net!not-for-mail
From: "Pituś" <p...@a...waw.pl>
Newsgroups: pl.soc.inwalidzi
Subject: MALDAL - ŚWIĄTECZNY ROBAK!
Date: Fri, 21 Dec 2001 15:23:20 +0100
Organization: Aster City Net
Lines: 73
Message-ID: <9vvgfi$2ne9$1@pingwin.acn.pl>
NNTP-Posting-Host: 15-dzi-3.acn.waw.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: 8bit
X-Trace: pingwin.acn.pl 1008944434 89545 62.121.66.15 (21 Dec 2001 14:20:34 GMT)
X-Complaints-To: a...@a...net
NNTP-Posting-Date: Fri, 21 Dec 2001 14:20:34 +0000 (UTC)
X-Tech-Contact: u...@a...net
X-Priority: 3
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Server-Info: http://www.astercity.net/news/
X-Newsreader: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
Xref: news-archive.icm.edu.pl pl.soc.inwalidzi:21653
Ukryj nagłówki
====================================================
=
PC World Komputer http://www.pcworld.pl
Uwaga wirus: Maldal - świąteczny robak
====================================================
=
MALDAL - ŚWIĄTECZNY ROBAK
Maldal jest robakiem internetowym napisanym w języku Visual Basic,
którego działanie polega na rozsyłaniu się pocztą elektroniczną,
zmianie strony startowej przeglądarki internetowej i pobraniu z
Internetu swoich komponentów.
Robak zwykle pojawia się w komputerze ofiary w postaci załącznika do
listu elektronicznego o następujących parametrach:
Temat: Happy New Year
Treść: Hii
I can't describe my feelings
But all i can say is
Happy New Year :)
bye
Załącznik: Christmas.exe
Po uruchomieniu przez użytkownika pliku załącznika robak modyfikuje
rejestr tak, by zmianie uległa nazwa komputera (na Zacker), oraz by
jego kopia uruchamiała się z pliku christmas.exe, umieszczonego w
katalogu systemowym, przy każdym starcie Windows.
Najpierw robak rozsyła swoje kopie, za pomocą poczty elektronicznej, do
wszystkich adresatów znajdujących się w książce adresowej systemu
Windows. Później zmienia stronę startową przeglądarki internetowej na
stronę zawierającą innego robaka, pobieranego automatycznie dzięki
błędowi, z którego wcześniej korzystał opisany przez nas robak
Coolsite.
Na koniec tej fazy działania robak wyświetla okienko z komunikatem
"From the heart. Happy new year!" oraz blokuje klawiaturę.
Wejście na zmienioną przez robaka stronę startową przeglądarki Internet
Explorer, spowoduje w niezabezpieczonych przeglądarkach automatyczne
pobranie i uruchomienie pliku - rol.vbs. Plik ten jest również zapisany
na dysku jako zacker.vbs w katalogu systemowym.
Następnie robak tworzy plik dalal.htm, który zawiera kod wykorzystywany
w kolejnym etapie działania do dołączania do plików lub ich
nadpisywania. W kolejnym etapie swego działania robak usuwa katalogi
instalacyjne kilku programów antywirusowych, jeżeli je odnajdzie na
dysku.
Ponadto robak dołącza swój kod do plików z rozszerzeniami html, htm i
asp oraz nadpisuje swoim kodem pliki z rozszerzeniami: lnk, zip, jpg,
jpeg, mpg, mpeg, doc, xls, mdb, txt, ppt, pps, ram, rm, mp3, mdb, swf,
dodając na końcu rozszerzenie vbs. Od tego momentu nadpisane pliki są
kopiami robaka.
Na zakończenia swego działania robak stara się nadpisać skrypt starto
wy programu do obsługi IRCa - mIRCa - tak, by kopie robaka były wysył
ane do wszystkich uczestników kanału, na który wejdzie zainfekow
any użytkownik. Ostatecznie Maldal wyświetla komunikat o treści poli
tycznej i wyłącza system Windows.
Pełna wersja: http://www.pcworld.pl/wirus/wirus.asp?m=16&nr=79
====================================================
==================
Lista prowadzona jest przy merytorycznym wsparciu firmy MKS Sp. z o.o
http://www.mks.com.pl
====================================================
==================
--
Pozdrawiam, Pituś
|
