ZaRohem.cz Pražské metro Test osobnosti CowParade 2004 Praha MHD v ČR
Blog ZaRohem 1.PCRevue.cz Vinárna Na roli (Petřvald) Restaurace Třebovická role kapela Terra Ignota

Reklama
Hlavní stránka
Aktuality
Software
Internet
Hardware
Seriály
Viry
Tipy a triky
Download
Konference
Napište nám
Reklama
Doporučujeme užitečný crm systém od CÍGLER SOFTWARE!
16. červenec 2001 - Viry

Leave - další "zatím" laboratorní virus

Tisková zpráva

Poslední dobou se stále častěji setkáváme s tzv. laboratorními počítačovými viry. Jsou to viry, na kterých jejich známí či neznámí tvůrci ukazují svoje možnosti a programátorské dovednosti.

Situace tedy může vypadat tak,, že se není čeho bát. Opak ale může být pravdou, od příkladu realizace viru není většinou daleko k jeho praktickému uplatnění v rámci opravdu škodlivého "drobečka", který vám bez okolků a bez ptaní "spořádá" vaše data na vašem počítači a připraví vás tak o plody vaší často dlouhé práce.

Zatím poslední novinkou, která patří do zmiňované skupiny je virus W32/Leave. Neobsahuje sice žádnou výraznou škodlivou rutinu a dosud nebyl zaznamenán "In The Wild", ale může být jen otázkou času, kdy se ukáže něco podobného s mnohem ničivějšími následky.

W32/Leave je červ šířící se prostřednictvím infikované přílohy e-mailu nebo prostřednictvím IRC serveru. Skládá se celkem ze tří komponent a ovládá také některé dovednosti trojského koně SubSeven.

W32/Leave.worm

Alias: I-Worm.Leave, W32.Leave.Worm
Typ viru: worm + virus
Nebezpečnost: střední
První výskyt: červen 2001 (23.6.2001)

Jak se projevuje

Leave je červ šířící se prostřednictvím infikované přílohy e-mailu nebo prostřednictvím IRC serveru. Skládá se celkem ze tří komponent a obsahuje také některé vlastnosti trojského koně SubSeven.

Hlášení o výskytu tohoto viru "In The Wild" nejsou zatím k dispozici, ale jeho potencionální nebezpečnost je poměrně vysoká. Leave k vám může doputovat prostřednictvím e-mailu nebo přes IRC server. Podle dostupných informací se skládá ze tří komponent: BIN.DLL (22528 bytů), REGISTRY.DLL (54272 bytů) a .EXE souborů (76800 bytů), který může mít různý název. Všechny jsou zkomprimované pomocí programu UPX.

Pokud je .EXE soubor spuštěn, nejprve se nakopíruje do c:\WINDOWS\regsv.exe a vytvoří soubor c:\WINDOWS\acI3.dll, jehož obsah vypadá jako šifrovaná data. Činnost viru není vázána na složku "c:\WINDOWS\" pevně, ale umí si aktuální instalaci systému najít i v adresáři s jiným názvem.

Dále vytváří klíče registrů:

  • HKU\.Default\Software\Mirabilis\ICQ\Agent\Apps\icqrun="C:\WINDOWS\regsv.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run\regsv="C:\WINDOWS\regsv.exe"
  • HKLM\SOFTWARE\Classes\Scandisk\i386\i\
  • HKLM\SOFTWARE\Classes\Scandisk\i386\s\
Soubor. EXE dále obsahuje "master password" ze známého backdooru Subseven, které lze použít k šíření infekce na další počítače. Obsahuje také kód, který umožňuje kontaktovat IRC servery a také stahovat soubory z webu. Soubor REGISTRY.DLL také obsahuje e-mailovou šířící rutinu.

Další informace

Reklama
 
 
Aktuální články:
Reklama
Program eWay-CRM je praktické CRM řešení integrované přímo do Microsoft Outlooku.
 
 
Reklama
 
© 1.PC Revue.cz - všechna práva vyhrazena
ISSN: 1213-080X
© Karel Kilián ml.
Zásady ochrany osobních údajů
Reklama