Hadra nebo Hydra ?
Tisková zpráva
Pro zasvěcené a pravidelné pozorovatele virové scény není zmatek ve jménech virů ničím novým. Velmi zajímavé je všimnout si jména jednoho viru tzv. z "domácí provenience", který jsme zaznamenali v poslední době. Původní záměr autora viru (gl_storm) bylo dát svému miláčkovi jméno Hydra. Jak se ale mnohdy stává: autor míní a ... ostatní mění. Stalo se tak i v tomto případě. Některé antivirové firmy sice vedou tohoto "drobečka" pod označením Hydra (např. Kaspersky Anti-Virus nebo CA), ale některé jej překřtily na Hadra (např. F-Secure nebo NAI), což se asi autora viru opravdu dotklo. V češtině navíc zní zkomolenina ještě kouzelněji...
A co tato "potvůrka" vlastně dělá?
W32/Hadra@M
Alias: Hadra (F-Secure), I-Worm.Hydra (AVP), W32.Hyd@mm (NAV), Win32.Hydra.12249 (CA)
Typ viru: e-mailový červ + virus
Nebezpečnost: nízká
První výskyt: červen 2001 (15.6.2001)
Jak se projevuje:
W32/Hadra@M je e-mailový červ napsaný ve Visual Basicu šířící se jako .EXE soubor v příloze zprávy. Snaží se zapojit váš počítač do programu SETI a vámi získané výsledky započítat autorovi viru.
Červ se připojuje jako .EXE soubor k odesílané poště. Pokud má zpráva přílohu, převezme její jméno a změní pouze koncovku. Pokud e-mail přílohou nedisponuje, připojí se také a jméno vygeneruje náhodně. Soubor má velikost asi 12 kB.
Pokud příjemce správy klikne na zmiňovaný soubor, nakopíruje se virus do adresáře WINDOWS jako MSSERV.EXE a vytvoří si několik klíčů v následujících registrech.
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\msservice=%WinDir%\msserv.exe
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\msservice=%WinDir%\msserv.exe
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\msservice=%WinDir%\msserv.exe
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\msservice=%WinDir%\msserv.exe
Dále smaže soubor MSCONFIG.EXE a snaží se při jejich případném spuštění ukončit aplikace z následujícího seznamu (většinou antivirové programy):
- Amon
- AntiVir
- AVG
- AVP Monitor
- Dr.Web
- F-Secure
- F-STOPW
- File Monitor
- InoculateIT
- Iomon98
- navpw32
- NOD32
- Norman Virus Control
- Norton AntiVirus
- Registry Editor
- Registry Monitor
- Task Manager
- Trend PC-cillin
- vettray
- Vshwin
Bez vědomí uživatele si stáhne a nainstaluje software programu SETI (Search for Extraterrestrial Intelligence). Jeho konfigurační soubory USER_INFO.SAH, VERSION.SAH, RUN_MSSETI.VBS a MSSETI.BAT jsou vytvořeny v adresáři WINDOWS. Dále vytvoří dva klíče v registrech, které zajišťují spuštění VBScriptu při startu systému:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\msseti=WScript.exe %WinDir%\run_msseti.vbs
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\msseti=WScript.exe %WinDir%\run_msseti.vbs
V pátek třináctého mezi 1:00 a 2:00 odpoledne se k posílané zprávě přidá následující text: [I-Worm.Hydra] ...by gl_st0rm of [mions]
Odstranění viru
Pokud budete chtít virus odstranit, doporučujeme nabootovat v DOSovém režimu a v adresáři Windows smazat soubor MSSERV.EXE. Pak můžete nabootovat do Windows a regeditem smazat klíče "msservice".
Pro odstranění nainstalovaného software SETI ještě smažte soubory RUN_MSSETI.VBS, USER_INFO.SAH, MSSETI.EXE, MSSETI.BAT a MSSETI.PIF.
Další informace:
|
