ZaRohem.cz Pražské metro Test osobnosti CowParade 2004 Praha MHD v ČR
Blog ZaRohem 1.PCRevue.cz Vinárna Na roli (Petřvald) Restaurace Třebovická role kapela Terra Ignota

Reklama
Hlavní stránka
Aktuality
Software
Internet
Hardware
Seriály
Viry
Tipy a triky
Download
Konference
Napište nám
Reklama
Doporučujeme užitečný crm systém od CÍGLER SOFTWARE!
16. červenec 2001 - Viry

Hadra nebo Hydra ?

Tisková zpráva

Pro zasvěcené a pravidelné pozorovatele virové scény není zmatek ve jménech virů ničím novým. Velmi zajímavé je všimnout si jména jednoho viru tzv. z "domácí provenience", který jsme zaznamenali v poslední době. Původní záměr autora viru (gl_storm) bylo dát svému miláčkovi jméno Hydra. Jak se ale mnohdy stává: autor míní a ... ostatní mění. Stalo se tak i v tomto případě. Některé antivirové firmy sice vedou tohoto "drobečka" pod označením Hydra (např. Kaspersky Anti-Virus nebo CA), ale některé jej překřtily na Hadra (např. F-Secure nebo NAI), což se asi autora viru opravdu dotklo. V češtině navíc zní zkomolenina ještě kouzelněji...

A co tato "potvůrka" vlastně dělá?

W32/Hadra@M

Alias: Hadra (F-Secure), I-Worm.Hydra (AVP), W32.Hyd@mm (NAV), Win32.Hydra.12249 (CA)
Typ viru: e-mailový červ + virus
Nebezpečnost: nízká
První výskyt: červen 2001 (15.6.2001)

Jak se projevuje:

W32/Hadra@M je e-mailový červ napsaný ve Visual Basicu šířící se jako .EXE soubor v příloze zprávy. Snaží se zapojit váš počítač do programu SETI a vámi získané výsledky započítat autorovi viru.

Červ se připojuje jako .EXE soubor k odesílané poště. Pokud má zpráva přílohu, převezme její jméno a změní pouze koncovku. Pokud e-mail přílohou nedisponuje, připojí se také a jméno vygeneruje náhodně. Soubor má velikost asi 12 kB.

Pokud příjemce správy klikne na zmiňovaný soubor, nakopíruje se virus do adresáře WINDOWS jako MSSERV.EXE a vytvoří si několik klíčů v následujících registrech.

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\msservice=%WinDir%\msserv.exe
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\msservice=%WinDir%\msserv.exe
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\msservice=%WinDir%\msserv.exe
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\msservice=%WinDir%\msserv.exe
Dále smaže soubor MSCONFIG.EXE a snaží se při jejich případném spuštění ukončit aplikace z následujícího seznamu (většinou antivirové programy):

  • Amon
  • AntiVir
  • AVG
  • AVP Monitor
  • Dr.Web
  • F-Secure
  • F-STOPW
  • File Monitor
  • InoculateIT
  • Iomon98
  • navpw32
  • NOD32
  • Norman Virus Control
  • Norton AntiVirus
  • Registry Editor
  • Registry Monitor
  • Task Manager
  • Trend PC-cillin
  • vettray
  • Vshwin
Bez vědomí uživatele si stáhne a nainstaluje software programu SETI (Search for Extraterrestrial Intelligence). Jeho konfigurační soubory USER_INFO.SAH, VERSION.SAH, RUN_MSSETI.VBS a MSSETI.BAT jsou vytvořeny v adresáři WINDOWS. Dále vytvoří dva klíče v registrech, které zajišťují spuštění VBScriptu při startu systému:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\msseti=WScript.exe %WinDir%\run_msseti.vbs
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\msseti=WScript.exe %WinDir%\run_msseti.vbs
V pátek třináctého mezi 1:00 a 2:00 odpoledne se k posílané zprávě přidá následující text: [I-Worm.Hydra] ...by gl_st0rm of [mions]

Odstranění viru

Pokud budete chtít virus odstranit, doporučujeme nabootovat v DOSovém režimu a v adresáři Windows smazat soubor MSSERV.EXE. Pak můžete nabootovat do Windows a regeditem smazat klíče "msservice".

Pro odstranění nainstalovaného software SETI ještě smažte soubory RUN_MSSETI.VBS, USER_INFO.SAH, MSSETI.EXE, MSSETI.BAT a MSSETI.PIF.

Další informace:

Reklama
 
 
Aktuální články:
Reklama
Program eWay-CRM je praktické CRM řešení integrované přímo do Microsoft Outlooku.
 
 
Reklama
 
© 1.PC Revue.cz - všechna práva vyhrazena
ISSN: 1213-080X
© Karel Kilián ml.
Zásady ochrany osobních údajů
Reklama