pecet: Re: Nie mam regedit.exe ;-(

Re: Nie mam regedit.exe ;-(

Autor: Tadeusz Kostecki (T.Kostecki_at_mostostal.waw.pl)
Data: Thu 29 Jun 2000 - 16:51:33 MET DST

Następna wiadomość: Miroslaw Sobiesiak: "Avi ---> Mpeg jak ?"
Poprzednia wiadomość: Justyna Kaminska: "Odp: błaganie o pomoc !"
W odpowiedzi na: maniac: "Nie mam regedit.exe ;-("
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

maniac napisał(a):
>
> Nie wiem jak to się mogło stać ale naprawdę tego nie ma na moim kompie. Czy

> Mógł to zrobić trojan? Mam takiego jednego na stanie ale
> właściwie to nie wiem co on robi (to nie ja go napisałem of course). Jestem
> w nagłej potrzebie.

> maniac out

Stages - niewidoczny robak internetowy.

Robak Stages jest programem napisanym w języku Visual Basic
Script,
którego działanie polega na wysyłaniu własnych kopii za
pomocą poczty
elektronicznej oraz IRC-a. Aby utrudnić usunięcie, kopiuje
on plik
edytora rejestru do kosza.
Zwykle robak pojawia się w komputerze ofiary w postaci
załącznika do
listu elektronicznego o nazwie LIFE_STAGES.TXT.SHS.
Uruchomienie
załącznika powoduje pokazanie się pliku tekstowego otwartego
w
Notatniku. W tym czasie w tle Stages uruchamia swoje
procedury.

Plik załącznika jest wykonywalnym plikiem typu SHS
(Microsoft Scrap
Object), mogącym zawierać wiele różnych obiektów, a
jednocześnie nie
ujawniającym swojego rozszerzenia, nawet przy włączonej
opcji
pokazywania rozszerzeń plików dla wszystkich typów plików.

Po uruchomieniu pliku załącznika robak tworzy i kopiuje oraz
w inny
sposób modyfikuje pliki i Rejestr systemu Windows:

- w katalogu c:\windows\system tworzone są pliki
scanreg.vbs,
vbaset.olb i msinfo16.tlb

- w kluczu Rejestru dodawana jest wartość uruchamiająca plik
scanreg.vbs przy każdym starcie systemu:
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/ScanReg

- w katalogu c:\windows tworzony jest plik
LIFE_STAGES.TXT.SHS

- we wszystkich katalogach głównych dysków (fizycznych i
sieciowych)
tworzone są pliki o losowych nazwach i rozszerzeniach shs,
zawierające
kopie robaka

- plik Edytora Rejestru regedit.exe kopiowany jest do kosza,
do pliku
o nazwie recycled.vxd ze zmienionym atrybutem na ukryty plik
systemowy

- w koszu tworzone są również pliki o nazwach: msrcycld.dat,
rcycldbn.dat i dbindex.vbs, będące kopiami robaka

- zmodyfikowany zostaje skrypt programu mIRC, tak by
wywoływał
sound32b.dll, czego efektem jest rozsyłanie kopii Stages do
uczestników kanału IRC-a.

Po wykonaniu procedur kopiowania plików oraz modyfikacji
systemu
Stages przechodzi do działań polegających na rozsyłaniu się
pocztą
elektroniczną do adresatów znajdujących się w książce
adresowej
programu Microsoft Outlook. List zawierający robaka zawiera
tworzony
losowo temat, a jedynym wspólnym elementem jest plik
załącznika o
nazwie: LIFE_STAGES.TXT.SHS. Po dokonaniu masowej wysyłki,
dla zatarcia śladów, natychmiast usuwane są listy z foldera
elementów
wysłanych programu pocztowego.

Następna wiadomość: Miroslaw Sobiesiak: "Avi ---> Mpeg jak ?"
Poprzednia wiadomość: Justyna Kaminska: "Odp: błaganie o pomoc !"
W odpowiedzi na: maniac: "Nie mam regedit.exe ;-("
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Tue 18 May 2004 - 20:17:39 MET DST