Nowe i Groźne virusy!!!

Brod.pl

Korgo.L
Również znany jako: Worm.Korgo.L
Typ: robak
Długość: 9343
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Korgo.L jest robakiem internetowym, który do rozprzestrzeniania się wykorzystuje tą samą dziurę w systemie Windows co robak Sasser (http://www.mks.com.pl/baza.html?show=description&id=2777).

Robak tworzy swoją kopię na dysku w pliku o losowej nazwie i rozszerzeniu exe, a także modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows. Następnie robak wyszukuje komputery w Internecie losowo wybierając ich adresy IP. Jeżeli odnaleziony komputer nie ma załatanej dziury (opisanej w biuletynie MS04-011 (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx)), robak tworzy na nim swoją kopię. W ten sposób następuje rozprzestrzenianie.

Dodatkowo robak oczekuje na komendy na portach 113, 3067 i innych losowych portach oraz łączy się z kilkoma serwerami IRCa.
Komputery zabezpieczone wcześniej odpowiednią łatą Microsoftu nie są automatycznie infekowane.

Anisc
Również znany jako: W97M.Anisc
Typ: wirus
Podtyp: makrowy Worda 97
Długość: 2293
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Anisc jest wirusem makr Worda 97, który poza infekowaniem kolejnych dokumentów zawiera również procedury destrukcyjne.
Wirus pojawia się w komputerze ofiary w momencie zamykania zainfekowanego dokumentu w Wordzie. Wirus infekuje globalny szablon normal.dot i od tego momentu wszystkie tworzone i edytowane dokumenty zostają zainfekowane. Dodatkowo, dla ukrycia swego działania, wirus obniża poziom zabezpieczeń w makrach Worda. Ponadto wirus posiada procedurę destrukcyjną działającą jedynie w systemach Windows 95/98/Me, polegającą na dodaniu w pliku autoexec.bat wpisu powodującego formatowanie dysku C przy ponownym uruchomieniu komputera. Procedura ta jest uruchamiana w 2005 roku.

Korgo.J
Również znany jako: Worm.Korgo.J
Typ: robak
Długość: 9343
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Korgo.J jest robakiem internetowym, który do rozprzestrzeniania się wykorzystuje tą samą dziurę w systemie Windows, co robak Sasser(http://www.mks.com.pl/baza.html?show=description&id=2777).

Robak tworzy swoją kopię na dysku w pliku o losowej nazwie i rozszerzeniu exe, a także modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows. Następnie robak wyszukuje komputery w Internecie losowo wybierając ich adresy IP. Jeżeli odnaleziony komputer nie ma załatanej dziury (opisanej w biuletynie MS04-011 (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx)), robak tworzy na nim swoją kopię. W ten sposób następuje rozprzestrzenianie.

Dodatkowo robak oczekuje na komendy na portach 113, 3067 i innych losowych portach oraz łączy się z kilkoma serwerami IRCa.
Komputery zabezpieczone wcześniej odpowiednią łatą Microsoftu nie są automatycznie infekowane.

Boxed.A
Również znany jako: Trojan.Boxed.A
Typ: trojan
Długość: 26694
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Boxed.A jest koniem trojańskim, którego działanie polega na przeprowadzaniu ataku typu Denial of Service (DoS) w stosunku do wybranych serwisów WWW.
Aktywny trojan wyłącza usługi systemowe niektórych programów antywirusowych (monitor mks_vir nie zostaje wyłączony), których usługi mają następujące nazwy:

wuauserv
navapsvc
Symantec Core LC
SAVScan
kavsvc
Network Client
Network Client Monitor
Trojan przeprowadza atak typu Denial of Service (DoS) w stosunku do poniższych serwisów internetowych, mający na celu zablokowanie dostępu do nich:

images.gamemaniacs.org
secure.bootcom.com
pop3.bootcom.com
mail.bootcom.com
ftp.bootcom.com
www.bootcom.com
Trojan modyfikuje również plik hosts, dodając do niego poniższe wpisy, czego efektem będzie brak dostępu do stron, których dotyczą wpisy.

127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
Cabir
Również znany jako: Worm.Cabir
Typ: robak
Długość: 15104
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Cabir jest robakiem działającym w środowisku systemu Symbian OS, którego działanie polega na rozprzestrzenianiu się za pośrednictwem połączeń Bluetooth. W szczególności może on działać w telefonach komórkowych korzystających z powyższego systemu operacyjnego oraz posiadające możliwość transmisji Bluetooth.

Zwykle robak pojawia się w telefonie po zgodzeniu się przez użytkownika na przyjęcie transmisji Bluetooth, w postaci pliku CARIBE.SIS, który automatycznie jest instalowany w katalogu APPS. Towarzyszy temu pojawienie się komunikatu na ekranie telefonu o treści: Caribe - VZ/29a.
W telefonie zapisywane są następujące pliki tworzone przez robaka:

\system\apps\caribe\caribe.app
\system\apps\caribe\caribe.rsc
\system\apps\caribe\flo.mdl
\system\symbiansecuredata\caribesecuritymanager\caribe.app
\system\symbiansecuredata\caribesecuritymanager\caribe.rsc
\system\symbiansecuredata\caribesecuritymanager\caribe.sis
\system\recogs\flo.mdl
\system\installs\caribe.sis
Robak stara rozesłać swoją kopię za pomocą połączenia Bluetooth do wszystkich urządzeń znajdujących się w zasięgu, niezależnie od typu urządzenia.
Robak jest automatycznie uruchamiany przy uruchamianiu systemu Symbian OS.

Paps.A
Również znany jako: Worm.Paps.A
Typ: robak
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Paps.A jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego. List ten może mieć dwie różne treści oraz kilka nazw załącznika. Szczegóły poniżej:

Temat jeden z poniższych:

RE: RE: FWD:
Re: Message Error
Re: Ihre Informationen
Re: Bad Request
Anzeige wegen illegalem Mp3-Tausch
du hast einen Trojaner auf deinem PC
Du Idiot!!!
ups, Ich habe Ihre Mail bekommen
Ich hasse dich!!
Achtung: Neuer Virus!!!
MailerDaemon: Mail Delivery Failure
Re: Mail Authentification
illegal file sharing
a trojan horse is on your PC
you are an idiot
ups, i've got your mail
I hate you
hi, its me
MailerDaemon: Mail Delivery Failure

Treść jedna z poniższych:

Hi du! Hab mal schnell ein paar Fotos mit Meikes Webcam geschossen.
Sind echt lustig geworden Smile

Hab dir die Fotos angehngt! Wir sehen uns...

ESMTP [Secure Mail System #334]: Secure message is attached.
++++ Attachment: No Virus found ++++ Norton AntiVirus -
www.symantec.com

Guten Tag! Die angeforderten Informationen befinden sich
im Anhang. MfG
++++ Attachment: No Virus found +++ Kaspersky AntiVirus
- www.kaspersky.com

Bad Gateway: The message has been attached.
++++ Attachment: No Virus found ++++ Norton AntiVirus
- www.symantec.com

Sie tauschen illegal mp3-files aus! Ein Gerichtsverfahren
gegen Sie wurde eingeleitet.
Nhere Informationen entnehmen Sie bitte dem Anhang.

Hallo, ich bin aus sterreich. Ich hab gerade mal kurz deinen
Computer gescannt und festgestellt, das du einen Trojaner
drauf hast. Ich konnte mir deine komplette Festplatte angucken.
Ich hab dir mal nen Removal tool an die Mail angehngt. Smile

Warum machen sie das? Sie Idiot! Sie haben mein Geld gestolen!!!
ICH WERDE SIE BEI DER POLIZEI ANZEIGEN!!!! Schauen Sie sich
den Anhang an!

Das muss wohl ein Fehllufer sein. Irgendjemand hat eine Mail,
die fr Sie bestimmt war an meine Mail Adresse geschickt.
Ich leite die Mail einfach mal weiter. Der Anhang ist sehr
interessant Smile

Ich hab dir gesagt, das ich dich liebe...und du?? Du....du hast
garnichts gesagt!!!
Verschwinde...du Schuft ... Ich hasse dich!! Du kannst deine
Dateien zurck haben!!! Ich hab sie angehngt...

Achtung: An alle Online-Spieler!! Ein neuer Wurm verbreitet
sich ber Online-Spiele!!!
Installiert euch den Patch im Anhang so schnell wie mglich
damit ihr das nicht auch kriegt!!

Mail transaction failed. Partial message is available
++++ Attachment: No Virus found ++++ Norton AntiVirus -
www.symantec.com

Here, the DigiCam photos. A few are overexposed...

ESMTP [Secure Mail System #334]: Secure message is attached.
++++ Attachment: No Virus found ++++ Norton AntiVirus -
www.symantec.com

Please read the attachment to get the message.
++++ Attachment: No Virus found +++ Kaspersky AntiVirus -
www.kaspersky.com

Bad Gateway: The message has been attached.
++++ Attachment: No Virus found ++++ Norton AntiVirus -
www.symantec.com

You are sharing illegal mp3-files. A legal investigation
has been startet. For details read the attachment.

hi, I am from austria and you`ll don`t believe me, but
a trojan horse in on your PC.
I've scanned your Computer and discovered that the trojan
horse subseven is running on Port 1234. I have
attached a removal tool for you to this mail Smile

why did you do that? idiot! You stole my money!!!
I`LL REPORT YOU TO THE POLICE!!!! See the attachment!

i`m very very sorry, but anybody have sent your mail
to my address. The attachment is very surprising Smile

I said, I love you...and you said NOTHING And now...
Go Away From Me ... I hate you!!
You can have your documents back!! I`ve attached them...

Caution: To all gamers A new worm spread via online gaming!
Install the attached patch as soon as possible!!

Mail transaction failed. Partial message is available
++++ Attachment: No Virus found ++++ Norton AntiVirus -
www.symantec.com

Załącznik jeden z poniższych:

Pics.JPG.exe
MailMessage.Msg.exe
Filesharing_details.DOC.exe
Trojan_removal_tool.exe
Report.DOC.exe
Documents.DOC.exe
Removal_tool.exe

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku następujące pliki: Win32config.exe, Win32apps3.txt, Kernel32.dll, Ntbtlog.txt, iphist.dat oraz tak modyfikuje rejestr, by jego kopia w pliku win32config.exe była automatycznie uruchamiana przy każdym starcie systemu Windows.
Następnie robak rozsyła swoje kopie za pomocą poczty elektronicznej do adresatów, których adresy odnajdzie na dysku w plikach z następującymi rozszerzeniami: doc, txt, wab, rtf, htm, html, dbx, xml, msg, php, cgi, pst, nk2.

Zafi.B
Również znany jako: Worm.Zafi.B
Typ: robak
Długość: 12800
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Zafi.B jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz na rozprzestrzenianiu się poprzez programy do wymiany plików w Internecie. Robak blokuje również dostęp do niektórych aplikacji.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego. List ten może mieć jedną z poniższych postaci:

Temat: [pusty]
Treść: [pusta]
Załącznik:: [losowa nazwa] .[com, exe, pif]

Temat: Ingyen SMS!
Treść:
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt
regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5!
B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de siess,
mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes
nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
Załącznik: regiszt.php?3124freesms.index777.pif

Temat: Importante!
Treść:
Informacion importante que debes conocer, -

Temat: oKatya
Załącznik:: view.link.index.image.phpV23.sexHdg21.pif

Temat: E-Kort!
Treść: Mit hjerte banker for dig!
Załącznik:: link.ekort.index.phpV7ab4.kort.pif

Temat: Ecard!
Treść:
De cand te-am cunoscut inima mea are un nou ritm!
Załącznik:: link.showcard.index.phpAv23.ritm.pif

Temat: E-vykort!
Treść: Till min Alskade...
Załącznik:: link.vykort.showcard.index.phpBn23.pif

Temat: E-Postkort!
Treść: Vakre roser jeg sammenligner med deg...
Załącznik:: link.postkort.showcard.index.phpAe67.pif

Temat: E-postikorti!
Treść: Iloista kesaa!
Załącznik:: link.postikorti.showcard.index.phpGz42.pif

Temat: Atviruka!
Treść: Linksmo gimtadieno! ha
Załącznik:: link.atviruka.showcard.index.phpGz42.pif

Temat: E-Kartki!
Treść: W Dniu imienin...
Załącznik:: link.kartki.showcard.index.phpVg42.pif

Temat: Cartoe Virtuais!
Treść: Content: Te amo... ,
Załącznik:: link.cartoe.viewcard.index.phpYj39.pif

Temat: Flashcard fuer Dich!
Treść:
Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in
deinem Browser einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...
Załącznik:: link.flashcard.de.viewcard34.php.2672aB.pif

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoje kopie w plikach o losowych nazwach i rozszerzeniach exe, dll oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Dodatkowo robak tworzy swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie w plikach o nazwach: winamp 7.0 full_install.exe, Total Commander 7.0 full_install.exe.
Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej na adresy odnalezione w książce adresowej systemu Windows oraz te znajdujące się w plikach z rozszerzeniami: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr. Do wysyłania listów robak korzysta z własnego silnika SMTP.
Dodatkowo robak blokuje dostęp do uruchamiania programów zawierających w nazwie ciągi: regedit, msconfig, task .