Gazeta Internetowa



Aby bezpłatnie otrzymywać 'Gazetę Internetow±'  kliknij link 'Prenumerata'. Lub wpisz swój email.
Dla każdego nowego prenumeratora eBook za darmo.


Wirusy i wisusy ;) !

Informacje o wirusach Romeo&Juliet
Wirus zwany xRomeo&xJuliet atakuje program pocztowy Outlook. Jak sie przed nim uchronic ?
Najlepiej nie uzywac Outlooka :))
Ze strony http://www.microsoft.com/technet/security/bulletin/ms00-037.asp mozna pobrac "late", która naprawia blad systemu - jeden z wielu :)

Oto sposob usuwania - niesprawdzony - nie gwarantuje jego poprawnosci. Tekst pochodzi z listy dysk. info1
1. Znalezc w systemie i usunąć pliki: ?romeo.* ?juliet.* sysrnj.exe 2. uruchomic komp w trybie MS-DOS 3. odpalic scanreg /restore
ANTY ROMEO - program usuwajacy wirus typu Romeo wraz z komentarzem i opisem wirusa. Spakowany, okolo 180 kb. Nie testowany przez mnie.

Przydatny programik - do czyszczenia rejestru. Nie testowany przez mnie.

Kolejny opis wirusa dostalem od Łukasza Kanclerskiego:
Wirus zaatakowal moj system z maila o tytule "Last wish???".
To dosc sprytny programik, poprzez zmiany w rejestrze przechwytuje
wszystkie uruchomienia plikow .exe, dokumentow, plikow multimedialnych,
spakowanych itp. Uruchomienie np. jakiegokolwiek .mpega konczy sie jego
zniszczeniem i wpisaniem kodu wirusa w ten plik.

Jesli zainfekowana wiadomosc zostania przegladnieta, wirus
uruchi poprzez skrypt html plik pomocy chm, ktory uruchomi
plik romeo (x).exe, ktory z kolej zainstaluje wirusa w katalogu
c:\windows. W lewym gornym rogu ekranu otworzy sie malutkie
puste okienko.

Opis recznego usuniecia wirusa:

Najpierw usunmy wiadomosc ze skrzynki odbiorczej.
(mozna to zrobic na koncu, ale wtedy trzeba uwazac,
by nie zakazic systemu jeszcze raz:)
Jestesmy w trybie off-line.
Po pierwsze, nalezy wylaczyc automatyczny podglad wiadomosci
w menu widok>uklad (odhaczamy okienko podgladu)
i potem mozna juz bezpiecznie przejsc do folderu,
w ktorym mamy wiadomosc i ja usunac (a nie tylko
przeniec do wiadomosci usuniete)

Wirus instaluje w katalogu c:\windows plik sysrnj.exe .
Plik ten jest juz wykrywany jako wirus przez najnowsze
(koniec listopada) uaktualnienia programow antywirusowych
(np. Sophos), jednakze jego skasowanie doprowadzi praktycznie do
unieruchomienia windows. Plik ten posredniczy przy uruchamianiu
kazdego programu, wiec lepiej go nie kasowac dopoki nie
uruchomimy regedita.
Moze sie okazac, ze regedit nie chce sie uruchomic.
Wirus prawdopodobnie blokuje jego uruchamianie.
W zwiazku z tym nalezy zastosowac nastepujacy trik
(po uprzednim zamknieciu wszystkich plikow z nazwa "romeo"
czy "juliet" w okienku ctrl-alt-del)

Dzialamy w katalogu "windows". Zmieniamy nazwe "sysrnj.exe"
na jakakolwiek inna (lepiej jeszcze go nie kasowac).
Robimy kopie "regedit.exe" i zmieniamy jej nazwe na "sysrnj.exe".
Teraz uruchomienie jkiegokolwiek programu spowoduje uruchomienie
regedita z parametrem rownym lokalizacji+nazwie pliku.
Wykorzystajmy to.
Na pulpicie utworzmy nowy dokument _tekstowy_ "patch.exe"
(rownie dobrze moglby sie nazywac "BillGatesSucksAss.avi" :))
w nim napiszmy :

REGEDIT4

[HKEY_CLASSES_ROOT\.exe]
"Content Type"="application/x-msdownload"
@="exefile"

i zachowajmy. Potem uruchommy. Jesli wszystko pojdzie dobrze,
windows zapyta, czy dodac informacje do rejestru. Oczywiscie tak.
Teraz bezpiecznie mozemy juz uruchamiac pliki exe, w tym przede
wszystkim regedit.exe.
Czeka nas troche zmudnej pracy. Musimy znalezc wszystkie
ciagi "rnjfile". Latwo widac, ze ciag ten wystepuje
wiele razy. Za kazdym razem jego wartosc bedziemy musieli zmienic
wedlug nastepujacego schematu : jesli jestesmy w klasie
.avi, to rnjfile zmieniamy na avifile ,
doc : rnjfile > docfile
reg : rnjfile > regfile
itd ze wszystkimi ( w sumie kilkanascie rozszerzen).

W rejestrze wystepuje tez ciag rnjfile opowiadajacy
za uruchamianie sysrnj.exe . Usuwamy go takze.

Po operacji jeszcze raz sprawdzmy, czy w calym rejestrze
przypadkiem gdzies sie nie ostal jakis "rnjfile" czy "sysrnj.exe".
Jesli tak - usuwamy.

Teraz mozemy bezpiecznie skasowac z katalogu windows
plik sysrnj.exe i porzednia wersje (znaczy oryginal) sysrnj.exe

Poszukajmy tez na dysku wszystkich plikow o nazwie *romeo*.exe
i *juliet*.chm . Usunmy je takze.

Jesli wszytsko dobrze poszlo - system jest juz czysty
i mozna spokojnie odtwarzac swoje ulubione mptrojki.

Uwaga - tekst napisalem jeszce na goraco, zaraz po
usunieciu wirusa. Nie wiem, czu to wszysko co nalezalo zrobic
ale wydaje mi sie ze raczej tak.
Na koniec nasuwa mi sie taka refleksja, ze kiedys wirus
sam musial dbac o to, by przechwytywac przerwania,
nadzorowac uruchamiane programu itd. Teraz jest od tego Windows,
ktory oferuje wirusom bardzo dobre wspomaganie:)

autor : Lukasz Kanclerski, 1 XII 2000 kanc@polbox.com

Wiecej informacji - http://www.mks.com.pl/



  • Romeo & Juliet
    Sporo było ostatnio już paniki i dyskusji na ten temat, więc
    postanowiłem wnieść do niego swoje kompleksowe trzy grosze. Jeśli komuś
    to pomoże, będę się cieszył...
    
    Wczoraj moja dociekliwość sprawiła, że się nieco pobawiłem tym głośnym
    robaczkiem. No cóż, wykorzystuje najbardziej naiwne (żeby nie powiedzieć
    lamerskie) cechy i standardowe ustawienia konfiguracyjne Windows i
    Outlook (Express). Daleko mu jednak do tego co statnio zaprezentował
    Hybris...
    
    Wiele już stron napisano z zaleceniami aby instalując Windę nie robić
    tego ze względów bezpieczeństwa w domyślnym katalogu C:\Windows, wiele
    też jest postów krytycznych po adresem niedorobionego i niezgodnego z
    zaleceniami RFC w/w czytnika/mailera firmy M$. Każdy kto skorzystał z
    tych rad (i nie tylko) czyli ma zainstalowany system w innym katalogu
    bądź używa porządnego czytnika może być spokojny. A teraz konkrety...
    
    Robaczek opiera się na w sumie dość prymitywnym, ale jak widać
    skutecznym pomyśle wykorzystującym niektóre z ułomności popularnego
    czytnika Outlook (Express) i plików CHM...:
    
    1. Nie potwierdzanego przez użytkownika zapisywania załączników poczty
    do standardowego katalogu temp czyli w naszym przypadku c:\Windows\temp
    - jeszcze przed pojawiającym się pytaniem o uruchomienie bądź zapisanie
    załącznika.
    
    2. Nie potwierdzanego uruchamiania skryptów zawartych w kodzie HTML
    otrzymanych wiadomości.
    
    3. Nie potwierdzanego aktywowania np. plików exe ze skompilowanych
    CHM'ów.
    
    Exek Myromeo spakowany jest UPX'em 1.01 jest wielkości 29184 bajtów. Po
    rozpakowaniu zajmuje 60928 bajtów. Napisany został w Deplhi 4 jako
    aplikacja klasy PE (portable executable). Przyczyną spakowania było
    zapewne skrócenie czasu wysyłania/powielania i ukrycie przed ciekawskimi
    zawartych w nim wpisów. Ogólnie robaczek wygląda na produkt "Made in
    Poland" biorąc pod uwagę adresy IP open i semi-open relay'ów z jakich
    korzysta do wysyłania poczty. Z oczywistych przyczyn nie chciałbym być
    teraz adminem któregoś z nich :) ale pewnie to i tak na dobre nam
    wyjdzie, bo lada moment zaczną oni przepuszczać pocztę jednie od/do
    userów mających u nich konta. A są to:
    
    212.244.199.2   gate2.panoramix.net.pl          Szczecin
    195.117.152.91  dns.inter-grafix.com.pl         Olsztyn
    195.116.62.86   madmax.quadrosoft.com           Sopot
    194.153.216.60  mail1.getin.pl                  Warszawa
    195.117.99.98   promail.pl "Optimus PRO"        Warszawa
    213.25.111.2    memo.gate.pl                    Wrocław
    
    Myjuliet jest skompilowanym do formatu CHM plikiem HTML zawierającym,
    podobnie jak sam rozsyłany list, skrypt Windows uruchamiający opisany
    wcześniej komponent PE Myromeo. Sama treść przesyłki zaszyta w Myromeo
    
    Nasza "parka" Romeo i Julia rozsyła się pod jednym z n/w 12 tematów:
    
    
    Romeo&Juliet
    :))))))
    hello world
    !!??!?!?
    ble bla, bee
    I Love You ;)
    sorry...
    Hej you !
    Matrix has you...
    my picture
    from shake-beer
    !!??!?!?
    
    
    Mechanizm działania robaczka jest prosty. Sama treść przesyłki zaszyta w
    Myromeo i przesyłana do ofiar jest w formacie HTML. W OE po najechaniu
    na taką otrzymaną przesyłkę uruchamia się (o ile mamy włączony
    automatyczny podgląd - o tym później przy leczeniu) moduł interpretujący
    HTML i skrypty oraz pokazujący nam jej zawartość. Wszystko by było OK
    gdyby nie przebiegły pomysł autora umieszczenia w nim skryptu... W
    HTML'u wiadomości mamy:
    
    (miedzy innymi)
    <IFRAME width=3D1 height=3D1
    src=3D"cid:000701bf8458$eb570380$dc0732d4@666"></IFRAME>
    <IFRAME width=3D1 height=3D1
    src=3D"cid:000701bf8458$eb570381$dc0732d4@666"></IFRAME>
    <P></P>
    
    <SCRIPT>
     window.showHelp("c:/windows/temp/myjuliet.chm");
    </SCRIPT>
    
    
    Właśnie ten w/w fragment <SCRIPT> ... </SCRIPT> skryptu jest
    automatycznie aktywowany przez Windę co prowadzi do odpalenia
    "przemyconego" wcześniej przez OE do c:\Windows\temp komponentu
    Myjuliet.chm i dalej Myromeo.exe. Ten skolei dobiera się do standardowej
    lokalizacji WAB'a (Windows Address Book) zapisanej w gałęzi rejestru
    \SOFTWARE\Microsoft\WAB\WAB4\Wab File Name czyli, po ludzku mówiąc
    książki adresowej Windows i próbuje rozesłać "parkę" dalej pod pozyskane
    w ten sposób adresy korzystając ze wspomnianych już wcześniej IP.
    Reasumując przy spełnionych warunkach dotyczących systemu (standardowo
    zainstalowana wersja polska Windy) i programu pocztowego (O(E)),
    robaczek aktywuje się automatycznie gdy otrzymany email jest OTWIERANY
    lub PRZEGLĄDANY!
    
    Mimo, że otrzymane przez naszych adresatów zainfekowane maile są "typowo
    Outlookowe" (zasługa wcześniej zdefiniowanej przez autora zawartości
    myromeo.exe) wysyłka ich jest ukrywana i nie trafia do "wysłane
    elementy" (send items) O(E), więc tam ich raczej nie szukajcie ;-).
    
    Powstaje pytanie JAK WYLECZYĆ SWÓJ ZARAŻONY SYSTEM? Ja po
    "kontrolowanym" zainfekowaniu zrobiłem to ręcznie, ale już chyba są
    dostępne uaktualnienia do popularnych programów antywirusowych, które
    robią to automatycznie.
    
    Na początek mała sugestia dla jeszcze zdrowych... Biorąc pod uwagę
    powyższe rozważania (adresy IP, możliwe tematy etc.) osoby korzystające
    z usług lokalnych serwerów pocztowych (np. Hamstera, Chomika) lub dobrze
    konfigurowalnych mailerów (np. TheBat!), mogą założyć sobie odpowiednie
    filtry na odbierane przesyłki i tym sposobem ich skutecznie uniknąć.
    Jeśli używacie Outlooka to osobiście proponuję przejście na jakiś mniej
    "dziurawy" i zgodny z RFC czytnik/mailer. Jeżeli jednak się upieracie
    przy swoim ulubionym O(E) to zainstalujcie sobie chociaż najnowszego
    patcha, który Wam co nieco w nim połata. Teraz O(E) zacznie pytać o
    nieautoryzowany dostęp do WBA o zapisywanie niebezpiecznych plików o
    wysyłanie załączników typu exe etc. Macie to na
    officeupdate.microsoft.com
    
    POSTĘPOWANIE:
    1. Przechodzimy do trybu off-line i zamykamy OE.
    
    2. Najpierw musimy zabrać sterowanie robaczkowi (o ile je ma). Wciskamy
    więc świętą trójcę Ctrl+Alt+Del i na liście procesów zaznaczamy naszego
    "Romeo" po czym wybieramy Zakończ zadanie.
    
    3. Przeszukujemy dyski (najlepiej chyba Windows Commanderem przez
    Alt+F7) lub start\znajdź\pliki lub foldery... i i kasujemy znalezione
    pliki mające w nazwie "myromeo" lub "myjuliet".
    
    4. Odpalamy O(E). Wchodzimy do menu widok\układ i LIKWIDUJEMY tam
    odhaczenie z "Pokaż okienko podglądu". (Gdyby tego znacznika wcześniej
    nie było nasz robaczek nie dostałby nigdy sterowania, ale my nie
    moglibyśmy przeglądać zawartości maili w OE.) Następnie listy/wiadomości
    posiadające któryś z w/w tematów spokojnie - tym razem już bez podglądu
    :-) - kasujemy.
    
    5. Posiadacze Win98 odpalają start\uruchom\msconfig i przechodzą do
    zakładki Autostart. Nie powinno tam być żadnych wpisów z odwołaniami do
    pliku o nazwie myromeo, a jeśli są należy je zlikwidować (odhaczyć).
    Posiadacze Win95 mają tu dwa wyjścia:
    
    a) albo skopiują sobie pozyskany np. od kolegi z Win98 plik
    MSCONFIG.EXE do katalogu \Windows\System\ i zastosują ponownie punkt 5
    
    b) albo pozostaje im grzebanie ręczne w rejestrach, czyli... odpalają
    start\uruchom\regedit. W gałęzi
    [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    wyszukujemy czy jest gdzieś wpis z nazwą "myromeo" jeśli tak to go w
    czapę. Podobnie robimy w gałęziach:
    [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] i
    [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce],
    jeśli takowe u Was w rejestrze istnieją. Po tym w gałęzi
    [HKEY_CURRENT_USER\...] Winda zrobi to już sama automatycznie. Dla
    słabiej zaawansowanych (bądź nie wiedzących) polecam gorąco sposób a).
    Dzięki programowi MSCONFIG.EXE będą się mogli dodatkowo dowiedzieć (i je
    zlikwidować) jakie procesy są u nich automatycznie (wielo bądź
    jednorazowo) startowane przy odpalaniu Windy i zżerają im zasoby, moce
    przerobowe CPU i cenną pamięć RAM.
    
    6. Restartujemy Windę i... nauczeni obecnymi doświadczeniami wchodzimy
    do sieci poszukując dobrego antywirusowego softu. Ze swej strony
    polecam:
    
    a) dla DOS'a F-PROT'a 3.08 z Frisk Software - Fridrika Skulasona i
    Vesselina Bontcheva do ściągnięcia z:
    ftp://garbo.uwasa.fi/pc/virus/fp-xxx.zip
    ftp://ftp.simtel.net/pub/simtelnet/msdos/virus/fp-xxx.zip
    http://www.simtel.net/pub/simtelnet/msdos/virus/fp-xxx.zip
    
    b) dla Windows InoculateIT (PE) z Computer Associates http://www.cai.com
    lub AVP z Kaspersky Lab. http://www.avp.ru - ten jest niestety płatny.
    Oba z monitoringiem i możliwością sprawdzania on-lie poczty.
    
    Podsumowując Romeo&Juliet okazał się być prostym krajowym, ale
    bezwzględnie wykorzystującym niedoróbki Outlooka(E) i Windows PL oraz
    lekkomyślność (żeby nie powiedzieć bardziej dosadnie...) ich
    użytkowników - robakiem, zapychającym łącza i skrzynki pocztowe.
    
    PS1.
    W/w sposób postępowania dotyczy zapewne także i samego Outlooka z
    pakietu Office, ale tego nie sprawdzałem bo go nie posiadam.
    
    PS2.
    Wyciągnijcie doświadczenia na przyszłość bo z tego co widzę robaczka
    można w dość prosty sposób modyfikować zmieniając mu wcześniej
    wymienione stałe (adresy IP openów, tematy... etc.) i adoptując go do
    infekowania nie tylko polskich wersji Windows. Jak będę miał więcej
    czasu to może się nim więcej pobawię i zaadoptuję go (wyłącznie na
    własny użytek) do Windows NT.
    
    Autor: Nuta - nuta@alpha.net.pl
    
    






    Aby bezpłatnie zaprenumerować 'Gazetę Internetow±'  kliknij link '
    Prenumerata' . Dla każdego nowego prenumeratora eBook za darmo !


    Poleć tę Gazetę znajomemu !
    Email znajomego:               
    Twoje imie, nazwisko lub nick:


    R E K L A M A
    Zarabiaj w Internecie. Nie wierzysz? Zobacz czeki
    To jest miejsce na twoja reklame








    Nie odpowiadam za prawdziwosc podanych informacji :)