Ai là ai miễn dịch với vi rút này?
UNIX, Linux và Mac là người sử dụng như bình thường miễn dịch với các vấn đề phổ biến vi rút. Những người đọc thư của họ bằng cách sử dụng cây thông, Netscape, Eudora cũng được an toàn từ vi rút này.
Đặc điểm virus: Worm chương trình này đã được lan truyền qua thư điện tử gửi thư rác từ một địa chỉ thư điện tử Tiếng Pháp. Các chương trình được đính kèm tập tin có tên "PrettyPark.EXE". Các báo cáo ban đầu của worm này đã được gửi đi thông qua độc quyền của chúng tôi Quét & Cung cấp hệ thống vào ngày 28/05/1999 từ Pháp.
4 trang |
Chia sẻ: netpro | Lượt xem: 2132 | Lượt tải: 4
Bạn đang xem nội dung tài liệu Đề tài Virus&worm - Tìm hiểu cách thức lây lan và mức độ ảnh hưởng của virus PrettyPark, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Virus&worm: Tìm hiểu cách thức lây lan và mức độ ảnh hưởng của virus PrettyPark.
Pretty Park worm là gì?
The 'PrettyPark' cũng được gọi là 'Trojan.PSW.CHV' là một sâu, một trộm cắp mật khẩu Trojan và một backdoor tại cùng một thời điểm nào. Nó đã được báo cáo sẽ được phổ biến rộng rãi ở Trung Âu trong tháng sáu năm 1999. Hiện đã được cũng là một ổ dịch của worm này trong tháng ba năm 2000. Ðây là một F-virus ngoại có sử dụng kỹ thuật mã hóa gây nhiễu, chống theo dõi, lây vào EXE, COM. Khi virus thường trú sẽ làm Windows95 rối loạn, một số ứng dụng sẽ bị treo hoàn toàn. Nói chung, đây là một loại virus phức tạp và khá nguy hiểm.
Pretty Park là một sâu thư điện tử tương tự với những sâu Happy99.exe . Phạm đến trong những hình thức của một tập tin đính kèm email với tên prettypark.exe, files32.exe, hoặc prettyorg.exe. Bạn có thể không có nhiễm vi rút này chỉ bằng cách đọc một newsgroup hoặc e-mail thông báo. .. Cửa sổ người dùng susceptible vào sâu. Sau khi chương trình được thực hiện sâu, nó sẽ cố gắng gửi email cho chính nó sẽ tự động 30 phút (hoặc 30 phút sau khi được nạp) đến địa chỉ email đăng ký trong sổ địa chỉ Internet của bạn. Nói chung, người đã gửi nó không biết rằng họ là gửi nó ra ngoài. Nếu bạn thực hiện một tập tin đính kèm bị nhiễm, nó sẽ hiển thị một firework hiển thị, một khi nó được kích hoạt tất cả các email mà bạn gửi sẽ có tập tin đính kèm. Khi một người nào khác sẽ mở nó, các vi rút lây lan và tàn phá tiếp tục.
Cách thức lây lan của virus Pretty Park
Ðối với những virus như Melissa hay virus Prettypark, để có thể lây lan được trên mạng thì chúng phải dựa vào sự "bất cẩn" của người sử dụng. Nghĩa là, virus thường mạo danh một người nào đó (thường là bạn của bạn) để gửi một email đến cho bạn, kèm theo email đó là một file attach .doc hay .exe. Nếu bạn là người không cẩn thận hoặc không cảnh giác thì bạn sẽ mở file gửi kèm đó ra để xem nội dung (file .doc) hay cho thực thi (file .exe), và như vậy virus sẽ từ những file đó "chui" vào máy của bạn, rồi từ đó nó lại mạo danh bạn để "lừa" những người khác có địa chỉ email trong sổ địa chỉ của bạn (address book), cứ như thế virus có thể đi khắp thế giới qua mạng Internet. Nhưng nếu bạn là người cảnh giác thì rất có thể bạn sẽ xoá ngay lập tức file nhận được mà không cần biết nó có nội dung gì, hoặc bạn ghi nó ra đĩa.
Nó cũng cố gắng để kết nối với một máy chủ IRC và tham gia một kênh IRC. Các sâu IRC gửi thông tin đến mỗi 30 giây để giữ chính nó được kết nối, và bất kỳ lệnh, để lấy từ các kênh IRC. Thông qua kết nối IRC, tác giả của worm có thể có được hệ thống thông tin, bao gồm cả máy tính tên, tên sản phẩm, sản phẩm nhận biết, sản phẩm trọng điểm, chủ sở hữu đã đăng ký, đăng ký tổ chức, hệ thống đường dẫn gốc, phiên bản, số phiên bản, xác định số ICQ, ICQ nickname , nạn nhân của địa chỉ email, và Quay Lên Mạng tên người dùng và mật khẩu. Ngoài ra, viêc kết nối với IRC mở ra một lỗ an toàn, trong đó khách hàng có thể có tiềm năng được sử dụng để nhận và thực hiện các tập tin.
Nó tạo ra một tập tin gọi là files32.vxd trong C: \ Windows \ hệ thống thư mục và sửa đổi sau đó đăng ky tọa lạc tại: HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command from "%1" %* to files32. Một biến thể mới của Pretty Park worm tương tự cũng tạo ra một sự thay đổi sau đăng ky.
HKEY_CLASSES_ROOT\exefile\shell\open\command lệnh .
PrettyPark lây lan qua Internet bằng cách tự gắn vào cơ thể của nó e-mail là 'Pretty Park.Exe' tập tin.. Các tập tin có biểu tượng hiển thị một ký tự hay nổi tiếng của cartoon nối tiếp được gọi là South Park.
Đang thực hiện cài đặt nó vào hệ thống chính nó và sau đó gửi các tin nhắn e-mail với những bản sao kèm theo địa chỉ ghi trong Sổ Địa chỉ và cũng thông báo một người (hầu hết các tác giả có khả năng worm) trên các máy chủ IRC mắc bệnh về hệ thống cài đặt và mật khẩu. Nó cũng có thể được sử dụng như là một backdoor (từ xa truy cập vào công cụ).
Khi sâu được thực hiện trong hệ thống cho lần đầu tiên, nó sẽ cho các bản sao đã hoạt động tích cực trong bộ nhớ. Các sâu hiện điều này bằng cách tìm kiếm ứng dụng mà đã "# 32770" cửa sổ chú thích. Nếu không có các cửa sổ, các worm đăng ký chính nó như là một ẩn ứng dụng (không được nhìn thấy trong danh sách công việc) và cài đặt nó chạy thường xuyên.
Trong khi cài đặt vào hệ thống các bản sao chính nó sâu vào \ Windows \ hệ thống \ thư mục như FILES32.VXD tập tin và sau đó sua doi các ký để được chạy mỗi khi exe bất kỳ tập tin bắt đầu khi Windows được kích hoạt. Các sâu hiện điều này bằng cách thay đổi một tập tin exe lệnh khởi động chủ chốt trong HKEY_CLASSES_ROOT. Chìa khóa là tên exefile \ shell \ mở \ lệnh và nó được liên kết với các tập tin sâu (FILES32.VXD tập tin mà bạn đã được tạo ra trong thư mục hệ thống WindowsNếu FILES32.VXD tập tin này sẽ bị xóa và ký không sửa chữa, các tập tin exe sẽ không bắt đầu nữa.
Trong trường hợp lỗi trong quá trình cài đặt kích hoạt các worm SSPIPES.SCR màn hình tiết kiệm (3D Pipes).Nếu tập tin này là thiếu, các sâu cố gắng để kích hoạt 'Canalisation3D.SCR' màn hình tiết kiệm.
Sau đó, worm sẽ mở các kết nối Internet và kích hoạt 2 thói quen của nó. Muốn biết thêm về ổ cắm theseinits (Internet) kết nối và chạy các thói quen đó đã được kích hoạt thường xuyên: đầu tiên một lần cho mỗi một trong 30 giây, một số khác - một lần cho mỗi 30 phút.
Đầu tiên thường là kích hoạt một lần trong 30 giây cố gắng kết nối với một trong các máy chủ IRC chat (xem danh sách dưới đây) và gửi một tin nhắn đến một ai đó, nếu anh ta là hiện tại trên tất cả các kênh của máy chủ trò chuyện này. Điều này cho phép theo dõi giám sát tác giả sâu máy tính bị nhiễm.
Danh sách các máy chủ IRC các worm cố gắng kết nối với:
irc.twiny.net irc.twiny.net
irc.stealth.net irc.stealth.net
irc.grolier.net irc.grolier.net
irc.club-internet.fr irc.club-internet.fr
ircnet.irc.aol.com ircnet.irc.aol.com
irc.emn.fr irc.emn.fr
irc.anet.com irc.anet.com
irc.insat.com irc.insat.com
irc.ncal.verio.net irc.ncal.verio.net
irc.cifnet.com irc.cifnet.com
irc.skybel.net irc.skybel.net
irc.eurecom.fr irc.eurecom.fr
irc.easynet.co.uk irc.easynet.co.uk
Các worm có thể cũng được sử dụng như là một backdoor (từ xa truy cập vào công cụ) của các tác giả.. Nó có thể gửi ra khỏi hệ thống chi tiết cấu hình, ổ đĩa trong danh sách, thư mục, thông tin cũng như các thông tin bí mật: mật khẩu truy cập Internet và số điện thoại, dịch vụ truy cập từ xa tên đăng nhập và mật khẩu, ICQ số điện thoại, vv Các backdoor là cũng có thể tạo / gỡ bỏ các thư mục, gửi / nhận được tập tin, xóa và thực hiện cho họ, vv.
Thứ hai, thường lệ, mà sẽ được kích hoạt một lần cho mỗi 30 phút, mở Sổ địa chỉ tập tin, đọc e-mail từ địa chỉ đó, và gửi tin nhắn đến các địa chỉ này. Tiêu đề tin nhắn chứa các lĩnh vực văn bản:
C:\CoolProgs\Pretty Park.exe C: \ CoolProgs \ Pretty Park.exe
. Các bài viết có kèm theo một bản sao của worm như Pretty Park.EXE tập tin. Nếu ai đó nhận được tin nhắn này và chạy kèm theo các tập tin hệ thống của mình trở nên mắc bệnh.
Sau khi disinfection này worm F-Secure Anti-virus đầu tiên restores các exe ký chìa khóa để khởi động các giá trị mặc định và sau đó renames worm của các tập tin. Disinfection được thực hiện tự động và không cần bất kỳ dữ liệu vào từ một người sử dụng.
Ai là ai miễn dịch với vi rút này?
UNIX, Linux và Mac là người sử dụng như bình thường miễn dịch với các vấn đề phổ biến vi rút. Những người đọc thư của họ bằng cách sử dụng cây thông, Netscape, Eudora cũng được an toàn từ vi rút này.
Đặc điểm virus: Worm chương trình này đã được lan truyền qua thư điện tử gửi thư rác từ một địa chỉ thư điện tử Tiếng Pháp. Các chương trình được đính kèm tập tin có tên "PrettyPark.EXE". Các báo cáo ban đầu của worm này đã được gửi đi thông qua độc quyền của chúng tôi Quét & Cung cấp hệ thống vào ngày 28/05/1999 từ Pháp.
Loại bỏ sâu này bằng cách thủ công
. Windows có thể không cho phép bạn xóa các tập tin này. Trong trường hợp này, xin vui lòng tắt máy của bạn để MSDOS; được; bấm vào nút "Bắt đầu - Shutdown - Khởi động lại trong chế độ MSDOS" và sử dụng lệnh để xóa các hệ điều hành DOS C: \ WINDOWS \ SYSTEM \ FILES32.EXE.
Bằng cách sử dụng regedit, sửa đổi Registry mục HKEY_LOCAL_MACHINE \ Software \ Classes \ exefile \ shell \ mở \ lệnh từ
FILES32.VXD "%1" %*
tới
"%1" %*
Bạn có thể khởi chạy regedit thông qua Start-menu-RUN Sau đó, tìm kiếm cho "FILES32.VXD" trong regedit.
Xoá các "Pretty Park.EXE" tập tin này
Khởi động lại máy tính của bạn
Bạn cần phải làm bước 2 ở trên, nếu không, các tập tin thực thi có thể không chạy đúng nếu bạn chỉ cần xóa FILES32.VXD
Tự động diệt của Pretty Park
Để tự động diệt các PrettyPark và các biến thể, download Craig Schumugar's excellent Pretty Park Cleaner
Đánh giá mối đe dọa
Wild
Cấp bậc: Thấp
Số Nhiễm trùng: 0 - 49
Số trang: 3 - 9
Kênh phân phối địa lý: Cao
Mối đe dọa Containment: Moderate
Diệt: Dễ dàng
Damage Thiệt hại
Cấp bậc thiệt hại: Thấp
Kênh phân phối
Phân phối Cấp bậc: Cao
Các file đính kèm theo tài liệu này:
- Virus&worm- Tìm hiểu cách thức lây lan và mức độ ảnh hưởng của virus PrettyPark.doc