zabránění vypnutí a happy99 (delsi)
Martin Slavik
slavikm na avx.cz
Pondělí Duben 19 12:01:55 CEST 1999
Hi all,
sice se to opravdu tyka tech co pouzivaji windoze, ale informaci
neni nikdy dost. Proto posilam popis toho viru a obranu (bez uprav).
Aspon ti postizeni mohou zjistit, kam vsude ho "poslali" (liste.ska - viz text).
Pipal
E-mailovy virus HAPPY99.EXE
Virus Happy99 (spise trojsky kun nez virus) funguje jednoduse.
Jakmile poslete nejakou e-mailovou zpravu, posle virus zpravu
jeste jednu - na stejnou adresu, se stejnym subjektem a s prilohou
HAPPY99.EXE. Nic netusici, duverivi prijemce pak v poklidu klikne
na prilohu a od te doby vsechny jeho dalsi e-maily poslane kamkoli
maji jako prilohu HAPPY99.EXE. Odesilatel pochopitelne vubec nic nevi
o priloze. Happy99 vam proto prijde od vaseho znameho nebo z nektere vasi
konference, aniz by jeho odesilatel mel zly umysl a neco tusil.
Happy99 dosahuje geniality v sireni se porad dal a dal., proto je mozna
nebezpecnejsi nez jine viry. Ma sice jenom 9KB, ale nasobeno stovkami
tisicu uzivatelu Internetu znamena dalsi zatez pro e-mailove servery,
ktere jsou preplneny soubory kolujicimi od jednoho uzivatele k druhemu.
Zname projevy:
Kliknete-li na HAPPY99.EXE a spustite ho, instaluje se do vaseho systemu.
WSOCK32.DLL je zkopirovano do WSOCK32.SKA, pote virus ulozi nove
wsock32.dll - tj. vlastne "instaluje sebe sama".
Tim ziska pristup k TCP/IP a stane se soucasti vaseho systemu.
Mimo to jeste ulozi SKA.EXE a SKA.DLL do adresare WINDOWS\SYSTEM.
Casem se jeste v temze adresari objevi LISTE.SKA - ten bude obsahovat
vsechny e-mail adresy na ktere jste nechtene poslali HAPPY99.EXE - pouziva se
take k tomu aby nikomu neposlal nic opakovane.
Ochrana:
Jako ochranu pred napadenim staci dodrzovat zakladni pravidlo Internetu - nikdy
neposilat EXE soubory a nikdy neklikat na prijate EXE soubory.
Prijate EXE soubory se proste ihned mazou a odesilatel se zada
o poslani souboru v prijatelnem, viry nesiricim, formatu.
Postup odstraneni:
1. wsock32.ska prekopirovat na wsock32.dll
2. smazat ska.exe a ska.dll
3. podivat se do liste.ska a poslat vsem v seznamu varovani
-----Původní zpráva-----
Od: Corp. yA (Zdenek Pizl) [SMTP:pizl na max.af.czu.cz]
Odesláno: 19. dubna 1999 10:58
Komu: linux na linux.cz
Předmět: Re: zabránění vypnutí a happy99
Martin Masin wrote:
> Jestli se nepletu, tak tenhle virus se šíří tak, že přijde
> e-mailem a po otevření a spuštění se zabuduje někam do Windows (myslim,
> že si přepíše nějakou knihovnu) a pak s použitím vašeho adresáře rozesílá
takze vetsiny z nas se to asi tykat nebude (mam na mysli Wirdous) ....
Další informace o konferenci Linux