APRENDA AKI SOBRE VIRUS

[arielrobinson 0]

ESTAVA OLHANDO AKI NO FORUM E VI Q TEM MTA GENTE Q N SABE OQ OS VIRUS FAZEM E SAEM FALANDO CLOSED!

BAN!ADVERTIDO!

APRENDAO AKI

 

E OUTRA! VOU EXPLICAR QUE NAO EXISTEM VIRUS BENIGNOS PARA O BOM FUNCIONAMENTO DE QUALQUER PROG

LEIAM E APRENDAM!!

 

trojan portacopo

O trojan.portacopo:br é um trojan desenvolvido no Brasil, e que só ataca sistemas Windows na lingua Portugues.

Seu tamanho é de 475.648 bytes, e ele em geral chega por e- mail. Ao atacar ele destrói todos os arquivos não-abertos, tanto nos drives locais, quanto nos drives mapeados de uma Rede Local.

Ao ser executado esse trojan se auto-copia na pasta do Windows, com o nome de WSYS.EXE. Em seguida ele cria uma nova chave no Registro do Windows:

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run

Boot Verify = %windir%\Wsys.exe /plus (%windir% indica o valor da pasta onde o Windows está instalado, e que em geral é C:\windows)

 

O trojan portacopo:br apresenta mensagens de texto, em Português, contendo um botão. Ao ser clicado esse botão, o trojan abre/fecha a bandeja do CD-ROM. Em seguida o trojan ataca, destruindo todos os arquivos não abertos, na máquina local e nas pastas compartilhadas de uma Rede Local, sobrescrevendo-os e colocando em seu lugar arquivos com o mesmo nome mas com um tamanho de 1 byte.

 

O trojan parece que não está bem programado, pois sua capacidade de se espalhar como um worm é quase nula. Muito embora possa ser enviado para qualquer pessoa, intencionalmente, por alguém que detenha uma cópia do mesmo.

 

backdoor-ASL

O cavalo de Tróia Backdoor-ASL, ainda de origem desconhecida, permite que um hacker acesse remotamente o sistema comprometido e roube informações pessoais de seus usuários.

 

Quando executado, o Backdoor-ASL se autocopia para o diretório de instalação do Windows, como SVCHOST.EXE. Como este arquivo é um nome válido do sistema (isto é, existe um arquivo do próprio Windows com tal nome, sua presença na máquina não indica necessariamente uma infecção real.

 

A partir daí, o backdoor cria três arquivos dentro do diretório System do Windows - extapi.dll (155.648 bytes), rascfg.dll (800 bytes) e sysmsg.dll (45.056 bytes). Estes três arquivos são a real comprovação da contaminação do sistema por esse trojan.

 

O primeiro arquivo habilita algumas funções como, por exemplo, operações remotas, obtenção de informação da versão do Windows, proprietário e nome da organização, envio de e-mail e rastreamento de tráfego na rede.

Já o arquivo SYSMSG.DLL checa o título de cada tela mostrada no Windows e os compara com os seguintes: account, connect, login, logon e password. Se esses nomes de títulos combinam, bem como a data, hora e nome da janela, entre outras características, e, se são digitadas informações na janela, o Backdoor-ASL as captura e salva as mesmas dentro do arquivo WORD.DLL, que o trojan mantém no diretório System. Assim, todas essas informações são enviadas ao autor do trojan, via e-mail, usando o mecanismo SMTP interno do cavalo-de-Tróia.

O outro arquivo observado nos sistemas infectados, o de nome RASCFG.DLL, contém as informações de configuração do próprio trojan.

 

Aparentemente o trojan Backdoor-ASL não funciona em sistemas Windows9x/ME. Assim ele somente ataca os Windows NT, 2000 e XP. Por enquanto, a ameaça é considerada de baixo risco devido ao pequeno número de casos registrados no Brasil e no mundo.

 

W32/DELODER.worm

 

Deloder.A é um worm que se propaga através da rede local e desabilita os recursos compartilhados: C$, D$, E$, ADMIN$ e IPC$. Além disso, cria e executa um trojan do tipo backdoor nas máquinas contaminadas.

Deloder.A tenta ganhar aceso a outras máquinas de maneira remota através de redes (em geral através de uma rede local ou então através da Internet). Para isso, tenta se conectar com uma série de endereços IP através da porta TCP 445.

Uma vez que ganha aceso aos recursos de um micro, trata de conectar-se para infectar aos demais computadores conectados por rede à máquina recém infectada.

 

Método de Infecção:

Deloder.A cria os seguintes arquivos na máquina contaminada:

PSEXEC.EXE (um programa legal)

DVLDR32.EXE (uma cópia do worm; se executa de maneira remota mediante o programa PSEXEC.EXE)

INST.EXE (dentro do mesmo diretório em que foi executado o DVLDR32.EXE; é um arquivo temporário; é um trojan do tipo backdoor)

INST.EXE (cria três cópias do trojan nas seguintes rotas das máquinas remotas que consegue infectar:

\IP_maquina \C$ \Documents and Settings \All Users \Start Menu \Programs \Startup\

\IP_maquina \C$ \WINNT \All Users \Start Menu \Programs \Startup\

\IP_maquina \C \WINDOWS \Start Menu \Programs \Startup\ (C neste caso deve ser um êrro, já que o programador do vírus com certeza pretendia escrever C$).

 

O worm Deloder.A modifica a seguinte chave do Registro do Windows:

HKLM \Software \Microsoft \Windows \CurrentVersion \Run

messnger %path%\Dvldr32.exe

(%path% se refere ao diretório donde se executou o arquivo DVLDR32.EXE).

 

W97M/melissa

 

O vírus W97/Melissa é um vírus de macro que iniciou sua propagação no dia 25 de março de 1999, atacando diversos micros através da Internet (como um arquivo .DOC atachado à e-mails).

Pela sua ação, de enviar 50 cópias de si mesmo pelo e-mail de cada usuário infectado, e poucas horas acabou causando problemas em servidores de e-mail, que caíram por excesso de tráfego.

Esse vírus, embora disseminado primordialmente pela Internet, só contamina o Word 97, ou Word 2.000, pela ação do usuário que, ao receber um e-mail (que neste momento tem como subject: "IMPORTANT MESSAGE FROM " - onde é o nome completo do usuário que foi contaminado) acaba lendo-o sem passar antes um bom e super- atualizado anti-vírus.

Assim é muito importante que não se rode documento Word, vindo como attachment num e-mail, sem antes tomar mínimas providências - a primeira das quais através da desabilitação de execução de macros do Word (Ferramentas * Opções - aba Geral: marque a opção "ATIVAR PROTEÇÃO CONTRA VÍRUS DE MACRO").

Atenção entretanto ao fato de que embora disseminado primordialmente pela Internet, o vírus Melissa também pode contaminar um micro pela cópia, e posterior leitura, de um documento contaminado com esse vírus.

Em seguida o vírus W97/Melissa contamina o modelo global NORMAL.DOT, desta forma contaminando outros arquivos que forem criados após a contaminação original, e permitindo mais uma rota de contaminação para outros usuários, mesmo que não usando e-mail.

Finalmente o vírus checa a hora e a data, se o minuto da hora for o mesmo do número do dia do mês, o vírus insere no documento aberto a mensagem: "Twenty-two points, plus triple- word-score, plus fifty points for using all my letters. Game´s over. I´m outta here".

 

Note que se o usuário abrir um documento infectado, com as macros desabilitadas, e tentar olhar a lista de macros do documento, ele não verá nada, já que o código viral é realmente em VBA associado com o método "document.open". A única maneira de ver o código viral é usando o próprio editor do Visual Basic.

Note também que em geral quem te enviar o e-mail contaminado será um conhecido seu, que não - necessariamente - está tentando te infectar, na verdade ele nem sabe que tais mensagens saíram de sua máquina. Portanto - neste caso - nada de confiar em seus amigos mais chegados; a regra aqui é clara: CONFIAR, DESCONFIANDO.

 

I WORM UPDATER

 

Novo wormna praça: I-Worm.Updater que está espalhando-se com grande velocidade pela Internet. O Updater é um worm escrito em Visual Basic Script, compactado com o uso do utilitário UPX, em um arquivo que ocupa 12 KB. Para se disseminar, utiliza o Outlook, enviando mensagens contaminadas automaticamente para todos os e-mails cadastrados no catálogo de endereços do usuário. Entretanto as demais empresas do setor só classificam, por enquanto, como de risco baixo. A mensagem que envia o novo worm tem no campo de assunto uma frase montada com quatro grupos de frases, no que segue o exemplo do Badtrans: :: primeira parte: "Have you ", "You Should ", "Just ", "Why Not you ", "How to ", "Re: ", "Fwd : ", " " :: segunda: "Check ", "Check out ", "Watch out ", "Open ", "Look at " :: terceira: "this ", "my ", "For this ", "The " :: quarta: "Picture", "Program", "Patch", "Nude pic", "Report", "Documment", "Quotation", "Transaction", "Bank Account", "WTC Tragedy", "Osama Vs Bush", "Account", "Private Pic" Com isso, o destinatário pode receber frases como “Have you Look at this Picture" no campo de assunto. O corpo da mensagem (This is the file you ask for...) sugere que o e-mail traz um arquivo que havia sido pedido, para forçar o usuário abrir o anexo. O anexo pode ter vários nomes, entre eles: Setup.EXE, Install.exe, Readme.exe, Files.exe, Quotation.Doc.exe, Letter.Doc.exe e Picture.jpg.exe. Perceba que pode haver, ou não, um arquivo do dupla extensão, válido para documento do Word ou arquivos de Imagem. O worm possui um ataque destinado a atormentar o usuário. A praga cria o script nocivo UPDATE.VBS na pasta Start-up, para que seja executado toda vez que o usuário ligar o computador. Uma vez em ação, o worm procura todos os arquivos EXE, DOC e VBS e cria outros arquivos contaminados com o mesmo nome e a extensão VBS. Por exemplo um documento chamado de Especificação.doc passa a ter no PC um "companheiro" com o nome de Especificação.doc.vbs. Com isso o computador perde espaço em disco e pode ter seu funcionamento comprometido, e aumenta as possibilidades de reinfecção, quando o usuário abrir esses pretensos documentos originais dele mesmo. Além disso, o invasor gera um grande volume de e-mails, o que pode derrubar servidores de e-mails.

 

CREDITOS PELO CONTEÚDO:GOOGLE

CREDITOS PELO POST:arielrobinson

--------------------------------------------------------------------------------------------------------------------------------------------------------------

vlw pessoal espero ter ajudado

[amoagi 0]

cara

eh muita coisa pra le

mais eh interessante quando eu tiver tempo eu vo le isso e

;]

vlw