|
WIRUSY W tym dziale przedstawiamy zagrożenia w postaci wirusów, przenoszonych przez IRC, bądź wpływających na wasze IRCowanie. Mamy nadzieje, że uchroni to was przed przyjmowaniem plików niewiadomego pochodzenia.
| Merlin |
Merlin - robak internetowy o różnorodnej destrukcji Merlin jest robakiem internetowym napisanym w języku Visual Basic Script, któty poza rozprzestrzenieniem się za pomocą poczty elektronicznej oraz IRCa, zawiera wiele różnorodnych procedur destrukcyjnych aktywizowanych w zależności od daty.
Zwykle robak pojawia się w komputerze ofiary w postaci listu elektronicznego o następujących parametrach:
Temat: WindowsXP Betatest
Treść: This message has permanent errors.
Sorry
Po uruchomieniu robak tworzy swoją kopię w pliku o losowej nazwie umieszczanym w katalogu systemu Windows, a także w pliku C:\Windows\WindowsXP.html.
W kolejnym etapie swego działania Merlin rozpoczyna procedurę masowej dystrybucji polegającą na rozsyłaniu się pocztą elektroniczną do wszystkich adresatów znajdujących się w książce adresowej systemu Windows, korzystając z programu Microsoft Outlook lub Outlook Express.
Następnie robak tworzy w katalogu głównym dysku twardego 500 katalogów o losowych nazwach, a wewnątrz każdego tak stworzonego katalogu umieszcza plik tekstowy.
Po działaniach twórczych robak rozpoczyna procedury destrukcyjne zależne od aktualnej daty systemowej:
- 2-go dnia każdego miesiąca usuwa edytor rejestru regedit.exe, próbuje usunąć pliki rejestru oraz stara się pobrać z internetu innego robaka, zapisując go na dysku w pliku c:\windows\hp.exe oraz modyfikując rejestr dla uruchamiania pobranego robaka przy każdym starcie systemu Windows.
- 4-go dnia każdego miesiąca modyfikuje plik autoexec.bat tak, aby przy następnym starcie nast±piło formatowanie dysku twardego i następnie wył±cza system.
- 5-go dnia każdego miesiąca robak modyfikuje wpis w rejestrze czego efektem jest zmiana tapety pulpitu.
- 7-go dnia każdego miesiąca robak otwiera aplikację Microsoft Agent z komunikatem: Hör nicht auf zu strahlen, kleiner Stern!
Po destrukcji Merlin przeprowadza działania maj±ce na celu zapewnienie jego aktywizacji. Polegają one na zmianach w rejestrze czego efektem jest uruchamianie robaka w momencie uruchamiania plików z rozszerzeniami mp3 i avi. Dodatkowo robak dołącza swój kod do wszystkich plików z rozszerzeniami vbs i vbe.
Na koniec robak stara się też rozprzestrzenić za pomocą IRCa poprzez nadpisanie skryptu startowego script.ini popularnej aplikacji do obsługi IRCa - mIRCa.
| Story |
Story jest kolejnym robkiem internetowym napisanym w języku Visual Basic Script. Jednak w odróżnieniu od popularnego modelu tego typu stworów nie rozsyła się za pomocą poczty elektronicznej, a jedynie na kanałach IRCa.
Zwykle robak pojawia się w komputerze ofiary w postaci przesłanego przez IRCa pliku o nazwie story.vbs. Uruchomienie tego pliku powoduje proces infekcji komputera polegający na tworzeniu przez robaka swoich kopii w plikach: c:\windows\story.vbs oraz c:\my documents\story.vbs. Ponadto Story modyfikuje Rejestr systemu czego efektem jest uruchamianie robaka przy każdym starcie systemu Windows.
Przy uruchomieniu robaka nadpisuje on skrypt startowy popularnego programu do obsługi IRCa - mIRCa - w pliku c:\mirc\script.ini, czego efektem jest wysyłanie pliku robaka story.vbs do wszystkich uczestników dołączających się do kanału, na którym znajduje się zainfekowany użytkownik
| Silver |
Silver jest groźnym robakiem internetowym rozsyłającym się za pomocą poczty elektronicznej, na kanałach IRCa, a także infekującym pliki w sieci lokalnej. Ponadto wprowadza duże zmiany w Rejestrze systemu Windows co zwykle prowadzi do nieprawidłowego działania systemu.Do rozsyłania się pocztą robak stosuje dwie metody. Najpierw stara się skorzystać z programu do obsługi poczty elektronicznej o nazwie Eudora, poprzez podbranie adresów z ostatnio wysłanych wiadomości znajdujących się w pliku outbox.mbx a następnie wysyła do nich list zawierający kopię Silvera o następującej treści:
Temat: concerning last week ...
Treść: Please review the enclosed and get back with me ASAP.
Double click the Icon to open it.
Załącznik: c:\silver.exe
Następnie robak używając standardowych funkcji MAPI odnajduje adresy i stara się wysłać list elektroniczny o treści:
Temat: Re: now this is a nice pic :-)
Treść: Thought you might be interested in seeing her
Załącznik: naked.jpg.exe
Po tym Silver przystępuje do fazy rozprzestrzeniania się poprzez IRCa. Do wykonania tego celu nadpisuje skrypty programów mIRC i Pirch98. Od tego momentu kopia robaka jest przesyłana do wszystkich uczestników kanału.
Kolejnym etapem działania robaka jest skanowanie napędów od c: do z: w poszukiwaniu katalogu windows. Następnie Silver kopiuje się do tych katalogów i umieszcza wpis w pliku win.ini oraz w Rejestrze powodujący uruchamianie robaka przy każdym starcie systemu.
Ponadto robak tworzy własne kopie w katalogu c:\windows o nazwach; silver.exe, silver.vxd, naked.jpg.exe, naked.jpg.scr oraz w katalogu głównym w pliku silver.exe
Na koniec robak zmienia ponad 100 wpisów w Rejestrze dotyczących przypisania odpowiednich aplikacji do określonych rozszerzeń. W wyniku tego działania przypisane aplikacje zamieniane są na ścieżkę do pliku silver.vxd.
Dotyczy to następujących wpisów w Rejestrze:
accesshtmlfile iqyfile regedit fonfile
accessthmltemplate IVFfile regfile GatewayFile
AIFFFILE jpegfile SHCmdFile htafile
AllaireTemplate JSFile SoundRec icsfile
anifile ldap tgafile mhtmlfile
artfile mailto txtfile MMS
aspfile mic VBSFile MMST
AudioCD MIDFile wab_auto_file MMSU
aufile money Winamp.File NSM
AVIFile MOVFile WinRAR MSBD
Briefcase MPEGFILE WinRAR.ZIP motiffile
cdafile MPlayer WinZip Msi.Package
Chat mscfile wrifile Msi.Patch
CSSfile msee WSFFile ofc.Document
curfile msgfile x-internet-signup ofx.Document
Drive MSProgramGroup xbmfile pjpegfile
DrWatsonLog Net2PhoneApp xmlfile PNM
Excel.Workspace NetscapeMarkup xnkfile qwb.Document
ftp news xslfile rtsp
giffile nntp m3ufile scpfile
helpfile Notes.Link ASFFile scriptletfile
hlpfile ossfile ASXFile SSM
htfile outlook BeHostFile ThemeFile
htmlfile PBrush ChannelFile TIFImage.Document
http pcxfile chm.file ttffile
https pngfile CMCD WangImage.Document
icofile powerpointhtmlfile ConnectionManagerProfile Whiteboard
icquser ramfile eybfile WIFImage.Document
inifile RealMedia File fndfile WSHFile
Oryginalne ustawienia są zachowywane w kluczu:
HKLM\Software\Silver Rat.
Potem robak usuwa kopie zapasowe rejestru w plikach user.da0, system.da0, system.1st, a także pliki sum kontrolnych i baz wirusów znanych programów antywirusowych.
Zwyle takie działanie Silvera powoduje co najmniej niestabilne działanie systemu.
| Fool |
Fool jest robakiem internetowym napianym w języku Visual Basic Script, rozprzestrzeniającym się poprzez kanały IRCa. Dodatkowo instaluje on w systemie konia trojańskiego pozwalającego na przejęcie poprzez sieć kontroli nad komputerem ofiary.
Zwykle Fool pojawia się w komputerze ofiary w postaci pliku otrzymanego na kanale IRCa przy pomocy programu mIRC o nazwie MyPicture.bmp.vbs. Po uruchomieniu tego pliku, robak kopiuje się do następujących plików:
c:\windows\system\mypicture.bmp.vbs
c:\windows\start menu\programs\startup\rundll.vbs
c:\my documents\mypicture.bmp.vbs
c:\mypicture.bmp.vbs
a także nadpisuje wszystkie pliki z rozszerzeniem vbs swoją kopią w następujących katalogach:
c:\
c:\my documents
c:\windows
c:\windows\samples\wsh
Kolejnym etapem działania robaka jest nadpisanie pliku konfiguracyjengo programu mIRC o nazwie script.ini tak by program automatycznie wysyłał kopie wirusa do uczestników kanału. Ponadto modyfikowany jest Rejestr systemu Windows, czego efektem jest uruchamianie robaka przy każdym starcie systemu.
Przy pomocy skomplikowanego procesu z wykorzystaniem istniejącego w systemie Windows programu debug.exe z kodu źródłowego tworzona jest aplikacja konia trojańskiego pozwalającego na przejęcie kontroli poprzez sieć nad zainfekowanym komputerem. Przy instalacji trojana usuwane są pliki źródłowe użyte do jego stworzenia.
Koń trojański pozwala na umieszczenie na komputerze ofiary plików, ich uruchamianie, a także uzyskanie informacji o konfiguracji komputera. Z tego można wnioskować, że stanowi on jedynie furtkę do umieszczenia innego konia trojańskiego o większych możliwościach.
31 grudnia uruchamiana jest procedura polegająca na wyświetleniu okienka dialogowego o treści:
The End
Happy New Year!
następnie zmieniane są wartości w Rejestrze, czego efektem jest zmiana zarejestrowanej nazwy użytkownika na Millenium 0.4b, zarejestrowanej nazwy organizacji na uNF oraz nazwy systemu na Winblows 2000. Na koniec modyfikowany jest plik autoexec.bat czego efektem jest wyświetlanie następującego tekstu przy starcie systemu:
Your Computer is NOT Y2K Complient!
Sorry For this Inconvenience
Millennium 0.4b
| IRCFlood |
Jest to trojan atakujący poprzez mIRC. Funkcjonuje jako program DoS (Denial of Service) atakujący serwery. Trojan ten działa w tle i nie wyświetla żadnego okna. Gdy użytkownik jest połączony z siecią i uruchomiony jest mIRC, trojan zaczyna działać jak serwer, umożliwiając zdalnemu klientowi zaatakowanie komputera. Trojan ten najczęściej atakuje serwery dal.net. Wirus wykorzystuje prywatne kanały IRC (#autohome oraz #autohome1) używając ośmioznakowego pseudonimu. Poprzez te kanały, zdalny klient ma możliwość uruchomienia "zatapiających" komputer funkcji trojana. Trojan wykorzystuje rejestr systemowy do zapewnienia sobie ponownego uruchomienia po restarcie systemu. Klucz rejestru jest następujący:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\Current Version\Run.
Natomiast wartość to:
\windows\system\ winsys32.exe.
Aby pozbyć się tego trojana skasuj plik winsys32.exe, który zazwyczaj znajduje się w katalogu \Windows\System. Usuń również wartość \Windows\System\winsys32.exe w kluczu:
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\Current Version\Run.
| mIRC Killer |
Jest to trojan ukrywający się pod postacią programu mIRC Nuker. Nie rozmnaża się a jedynie usuwa MIRC32.EXE w pliku AUTOEXEC.BAT. Trojan dodaje do pliku AUTOEXEC.BAT następujący wpis: Del C:\MIRC\MIRC32.EXE. W wyniku działania tej komendy plik MIRC32.EXE zostanie usunięty przy następnym uruchomieniu komputera.
| DragonBall |
DragonBall jest robakiem internetowym, stanowiącym pod względem funkcjonalności i architektury prawie wierną, polską kopię niesławnego LoveLettera. Robak wysyła swoje kopie przy użyciu poczty elektronicznej oraz poprzez kanały IRCa.
Zwykle DragonBall pojawia się w komputerze ofiary w postaci listu elektronicznego o następujących właściwościach:
Temat: Hello ;]
Treść: Hi, check out this game that j sent you (funny game from the net :])
Załącznik: dragonball.vbs
Po uruchomieniu załącznika robak kopiuje się do plików: winsock.vbs, sysdir.vbs w katalogu c:\windows oraz do plików milioner.vbs, dragonball.vbs i dragonball.cab w katalogu c:\windows\system.
Następnie dokonuje modyfikacji pliku Rejestru czego efektem jest uruchamianie robaka przy każdym starcie systemu Windows. Również efektem tych modyfikacji jest zmiana zarejestrowanego użytkownika systemu Windows na Dragon Ball Z by Yup, a także strony domowej przeglądarki Internet Explorer na:
http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg
Kolejnym etapem działania robaka jest modyfikacja skryptów startowych popularnego programu do obsługi IRCa - mIRCa. W efekcie plik robaka jest wysyłany do wszystkich uczestników aktualnego kanału.
Potem robak uaktywnia procedurę masowego wysyłania swoich kopii przy pomocy poczty elektronicznej. Używa on do tego celu książki adresowej i programu Outlook.
Jeżeli aktualny dzień miesiąca to 1 lub 27 robak wyświetla okienko dzialogowe o treści: Thank you, and bye bye DragonWorld!!!. Ponadto DragonBall stara się wyłączyć klawiaturę i mysz w systemie Windows NT, a także odtwarza krótki filmik z sieci przy pomocy Windows Media Player'a.
Na koniec robak dopisuje 3 linijki do pliku autoexec.bat wyświetlane przy uruchamianiu komputera.
Jak usunąć DragonBalla:
Za pomocą progamu regedit.exe usunąć wartość:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\winsock2.0
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysup
(ewentualnie inne wartości, jeśli wskazują na pliki z rozszerzeniem .VBS)
zmienić wartość:
HKLM\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner na pierwotną nazwę właściciela licencji
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page na stronę startową Internet Explorera (można to zmienić w ustawieniach IE)
Z katalogu głównego Windows (najczęściej C:\WINDOWS) usunąć: winsock.vbs i sysdir.vbs, z katalogu WINDOWS\SYSTEM usunąć: milioner.vbs, dragonball.vbs i dragonball.cab (ten ostatni może nie istnieć).
Jeśli w katalogu C:\MIRC zainstalowano program mIRC z pliku c:\mirc\mirc.ini usunąć 3 linie:
[rfiles]
n101=script.ini
n102=update.ini
usunąć pliki: updata.ini i script.ini
Z pliku autoexec.bat usunąć linie (jeśli są):
@ECHO ON
ECHO DraGon Ball [Z] by YuP
ECHO Thank you and bye bye dragon world!!
Wyszukać (np. Start/Znajdź/Pliki lub foldery) pliki pasujące do wzorca *.vb? zawierające ciąg 'db i usunąć je (nie uruchamiać! Są to kopie robaka!).
| Pica |
Pica jest robakiem internetowym napisanym w języku Visual Basic Script, którego główną funkcją jest rozsyłanie się poprzez pocztę elektroniczną oraz przy pomocy popularnego programu do obsługi IRCa - mIRCa.
Zwykle Pica pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego. Po uruchomieniu takiego załącznika, robak kopiuje się do katalogu systemowego Windows, do pliku o nazwie ds9.vbs. Następnie modyfikuje on Rejestr, czego efektem jest uruchamianie robaka przy każdym starcie systemu Windows.
Kolejnym etapem działania jest masowe rozsyłanie się przy pomocy poczty elektronicznej. Wiadomość zawierająca robaka ma następującą formę:
Temat: Hi check This...
Treść: Hello..your Game is Over..By Q from Lee
Załącznik: Ds9.vbs Masowa wysyłka następuje tylko jeden raz.
Na koniec Pica sprawdza czy zainstalowany jest program do obsługi IRCa - mIRC - i dodaje odpowiednie wpisy do pliku script.ini tego programu. Po tych zmianach kopia robaka będzie rozsyłana do wszystkich uczestników kanału, na który wejdzie zinfekowana osoba.
| Stages |
Robak Stages jest programem napisanym w języku Visual Basic Script, którego działanie polega na wysyłaniu własnych kopii za pomocą poczty elektronicznej oraz IRCa. Aby utrudnić usunięcie, kopiuje on plik edytora rejestru do kosza.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o nazwie LIFE_STAGES.TXT.SHS. Uruchomienie załącznika powoduje pokazanie się pliku tekstowego otwartego w Notatniku. W tym czasie w tle Stages uruchamia swoje procedury.
Plik załącznika jest wykonywalnym plikiem typu SHS (Microsoft Scrap Object), mogącym zawierać wiele różnych obiektów, a jednocześnie nie ujawniającym swojego rozszerzenia, nawet przy włączonej opcji pokazywania rozszerzeń plików dla wszystkich typów plików.
Po uruchomieniu pliku załącznika robak tworzy i kopiuje oraz w inny sposób modyfikuje pliki i Rejestr systemu Windows:
-w katalogu c:\windows\system tworzone są pliki scanreg.vbs, vbaset.olb oraz msinfo16.tlb
-w kluczu Rejestru dodawana jest wartość uruchamiająca plik scanreg.vbs przy każdym starcie systemu: HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/ScanReg
-w katalogu c:\windows tworzony jest plik LIFE_STAGES.TXT.SHS
-w wszystkich katalogach głównych dysków (fizycznych i sieciowych) tworzone są pliki o losowych nazwach i rozszerzeniach shs zawierające kopie robaka
-plik Edytora Rejestru regedit.exe kopiowane jest do kosza, do pliku o nazwie recycled.vxd ze zmienionym atrybutem na ukryty plik systemowy.
-w koszu tworzone są również pliki o nazwach: msrcycld.dat, rcycldbn.dat i dbindex.vbs, będące kopiami robaka
-zmodyfikowany zostaje skrypt programu mIRC, tak by wywoływał sound32b.dll, czego efektem jest rozsyłanie kopii Stages do uczestników kanału IRCa
Po wykonaniu procedur kopiowania plików oraz modyfikacji systemu Stages przechodzi do działań polegających na rozsyłaniu się pocztą elektroniczną do adresatów znajdujcych się w książce adresowej programu Microsoft Outlook. List zawierający robaka zawiera tworzony losowo temat, a jedynym wspólnym elementem jest plik załącznika o nazwie: LIFE_STAGES.TXT.SHS. Po dokonaniu masowej wysyłki, dla zatarcia śladów, natychmiast kasowane są listy z foldera elementów wysłanych programu pocztowego.
| Love4U |
- również zanany jako "Love-letter-for-you" jest robakiem internetowym napiasanym w języku Visal Basic Script, który poza rozprzestrzenianiem się za pomocą poczty elektronicznej, zamazuje zawartość kilku rodzajów plików, oraz propaguje się na kanałach IRCa przy pomocy programu mIRC.
Zwykle robak pojawia się w komputerze ofiary w postaci listu elektronicznego o temacie: ILOVEYOU, treści kindly check the attached LOVELETTER coming from me oraz pliku załącznika LOVE-LETTER-FOR-YOU.TXT.vbs
Po uruchomieniu pliku załącznika, Love4u kopiuje się do plików MSKernel32.vbs i LOVE-LETTER-FOR-YOU.TXT.vbs w katalogu c:\windows\system oraz pliku win32dll.vbs w katalogu Windows. Następnie dodaje wpisy do rejestru, których efektem jest uruchamianie robaka przy każdym starcie systemu Winsows.
Kolejnym etapem jego działania jest massowe rozsyłanie się do wszystkich adresatów znajdujących się w książce adresowej programu Outlook Express lub Outlook.
Love4U tworzy również plik LOVE-LETTER-FOR-YOU.HTM zawierający jego kod, który używa do propagacji na kanałach IRCa przy pomocy klienta mIRC.
Na koniec następuje procedura zamazywania plików. Robak zamienia oryginalną zawartość plików na własny kod. Dotyczy to plików o rozszerzeniach vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp2, mp3, przy czym poza plikami vbs i vbe, do nazw dodawaje rozszerzenie vbs.
Jak pozbyć się robaka ?
- uruchomić Edytor Rejestru (regedit.exe)
- z klucza Rejestru: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
usunac wpisy: "MSKernel32.vbs" i "WIN-BUGSFIX.exe"
- z klucza Rejstru: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"
usunac wpis: "Win32DLL.vbs"
- zmienic w kluczu: "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page"
wpis na: "about:blank"
- uruchomić ponownie komputer
- usunąć pliki "MSKernel32.vbs" "Win32DLL.vbs" "LOVE-LETTER-FOR-YOU.TXT.vbs" i "WIN-BUGSFIX.exe" oraz wszystkie zainfekowane pliki z rozszerzeniem "vbs", "vbe", "js", "jse"
| PrettyPark |
- po uruchomieniu programu robak stara się rozesłać samego siebie co 30 minut do adresów zarejestrowanych w książce adresowej programu pocztowego. Poza tym PrettyPark stara się też podłączyć do jednego z serwerów IRC i wejść na określony kanał. Następnie robak wysyła co 30 sekund informacje na kanał (dla utrzymania aktywnego połączenia) i oczekuje na komendy z zewnątrz za pośrednictwem IRCa.
PrettyPark jest robakiem działającym w sposób bardzo zbliżony do innego przedstawiciela tego "gatunku" - Happy99. Na szerszym forum pojawił się w wyniku akcji spammingowej (rozsyłania niechcianej poczty), której źródłem było konto poczty elektronicznej we Francji.W momencie uruchomienia pliku PrettyPark.EXE, znajdującego się w załączniku do listu elektronicznego, może pojawić się na ekranie wygaszacz ekranu "3D Pipe", natomiast w tle robak tworzy plik o nazwie FILES32.VXD w katalogu "WINDOWS\SYSTEM" oraz modyfikuje wpisy w Rejestrze z wartości orginalnej "%1" %* na wartość FILES32.VXD "%1" %* dla klucza :
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
Oto lista serwerów IRC, do których próbuje się podłączyć PrettyPark:
irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk
Poprzez IRC autor, czy też dystrybutor robaka może uzyskać informacje na temat systemu ofiary takie jak: nazwa komputera, nazwa systemu operacyjnego, zarejestrowany użytkownik, zarejestrowana organizacja, klucz rejestracyjny, ścieżka do katalogu systemowego, numer wersji, numer identyfikacyjny ICQ, pseudonim ICQ, adres poczty elektronicznej, nazwa użytkownika i hasło do połączenia typu Dial-Up. Dodatkowo podłączenie do IRC, otwiera jedną z dziur systemowych, która potencjalnie może w pewnych warunkach zostać wykorzystana z do zdalnych operacji na plikach.
Jak usunąć robaka PrettyPark ?
- używając Edytora Rejestrów (START > Uruchom> REGEDIT) zamienić wartość klucza:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
- i/lub klucza:
HKEY_CLASSES_ROOT\exefile\shell\open\command
z FILES32.VXD "%1" %* na "%1" %*
- używając Edytora Rejestrów usunąć wpisy uruchamiające robaka z klucza:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- używając Edytora Rejestrów usunąć klucz (jeżeli istnieje):
HKEY_CLASSES_ROOT\.dl
- ponownie uruchomić komputer
- usunąć plik WINDOWS\SYSTEM\FILES32.VXD
- usunąć plik Pretty Park.EXE
Uwaga ! Nie można pominąć kroku 1, gdyż może to spowodować problemy z uruchamianiem programów.
| Script.ini |
Jest to koń trojański pod mIRCa. Rezyduje w jego katalogu.
Zagrożenia:
- wirus wysyła plik wszystkim którzy wchodzą do pokoju, funkcją DCC.
- każdy może to wykorzystać wyrzucając Cię z IRCa.
- wysyła logi do kanału #x3212.
- sam zmienia protect.ini, dodaje i usuwa dowolne osoby.
- może wysyłać także pliki systemowe, zawierające informacje o Twoim kompie.
- może przejąć kanał na żądanie dowolnej osoby.
Jak się zabezpieczyć ?
- przede wszystkim nie pobieraj skryptu o nazwie script.ini
- wyłącz funkcję autoget DCC (menu DCC\options).
Jak usunąć?
- wejdź do mIRCa i wpisz /unload -rs script.ini.
- wejdź do katalogu mIRCa i sprawdź czy znajduje się tam plik script.ini, jeśli tak to usuń go.
- wyłącz funkcję autoget DCC (menu DCC\options).
|
