Forum » Programska oprema » Magister virus!
Magister virus!
R@C@ ::
Danes sem po mailu dobu en virusek MAGISTER po imenu, pa me zanima če ga kdo pozna. Sicer sem ga že demoliru, odpru sem pa attachment z imenom quikview....................pa sem skor vedel da je virus, sam me je hudo firbec matral!
gkovac ::
No... ce bi zalaufu ta virus se ti nebi zgodil skor nic... virus je precej neuporaben (hvalabogu) sej se samo mnozi po racunalniku... skratka... sreco si mel
lp,SuLc
lp,SuLc
lp,
____________________________________________
"Left to themselves, things tend to go from bad to worse."
____________________________________________
"Left to themselves, things tend to go from bad to worse."
Flash2000 ::
hmm ta "virusek" W32.Magistr.24876@mm ni prov nic nedolžen, ko se ta zadeva aktivira, imaš lahko še velike probleme 
Kaj več o tem virusu si lahko prebereš Tukaj
Kaj več o tem virusu si lahko prebereš Tukaj
Igor ::
Magistr je nevaren črv, kombiniran z virusom. Širi se preko interneta v sporočilih elektronske pošte in okuži Windows programe na računalniku in v lokalnem omrežju.
Virus vsebuje izjemno nevarne elemente, ki lahko ob določenih pogojih pobrišejo datoteke na trdem disku, CMOS pomnilnik in vsebino Flash BIOS-a (tako kot virus Win95.CIH oziroma Chernobyl). Dolžina virusa je okoli 30Kb in je napisan v strojnem jeziku.
Ob zagonu (naprimer ob kliku na okuženo pripono) se namesti v Windows pomnilnik, nekaj časa teče v ozadju, nekaj minut počiva ter kliče svoje rutine za okuževanje lokalnih in omrežnih Windows datotek, širjenje po elektronski pošti...
Virus se namesti v pomnilnik tako, da dostopa do aktivnega procesa EXPLORER.EXE in ga popravi tako, da doda 110 znakov dolgo zagonsko rutino, ki sproži virus v pomnilniku programa EXPLORER. Tako se virus namesti kot komponenta procesa EXPLORER.EXE in deluje v ozadju. Pred zagonom počaka tri minute.
Virus zatem poišče prvo datoteko v imeniku WINDOWS, jo okuži ter doda v Windows sistemski register pod HKLM\Software\Microsoft\Windows\CurrentVersion\Run in v WIN.INI področje [windows] parameter "run=". S tem povzroči aktiviranje virusa ob naslednjem zagonu sistema Windows.
Program je okužen tako, da se ne sproži po aktiviranju virusa temveč se preneha izvajati. Tako se virus aktivira brez da bi se okuženi program dejansko pognal in bi ga uporabnik opazil.
Virus zatem poišče in okuži datoteke .EXE in .SCR na dostopnih imenikih in diskih. Najprej okuži datoteke v imenikih WINNT, WINDOWS, WIN95 in WIN98. Rutina se naključno sproži v treh od štirih poizkusov. Zatem virus okuži še vse datoteke na vseh lokalnih diskih. Nekatere datoteke okuži narobe in jih tako trajno poškoduje, take datoteke je potrebno nadomestiti z originalnimi.
Virus zatem pregleda vse omrežne dodelitve (share) z možnostjo pisanja in okuži vse datoteke v imenikih WINNT, WINDOWS, WIN95, WIN98 ter se doda v "run=" vrstice datotek WIN.INI. S tem se ob naslednjem zagonu okužijo tudi ostali Win9x računalniki v omrežju.
Virus kreira tudi posebno .DAT datoteko za svojo uporabo, ime in lokacija datoteke sta odvisna od imena računalnika, naprimer:
Ime računalnika Ime datoteke
WIN98 -> CQL98.DAT
PUPKIN -> JEJOQL.DAT
CS-GOAT -> WG-SKYF.DAT
Datoteko naredi v enem od imenikov, izbira med Windows, 'Program Files', osnovnem imeniku C: drive oziroma osnovnem imeniku sistemskega diska.
Virus EXE datoteke okuži tako, da jih je težko pozdraviti. Svojo kodo kriptira s polimorfno rutino in se doda na konec programov. Za zagon virusa poskrbi druga kriptirana rutina.
Virus se širi preko programa za elektronsko pošto ki je naveden v sistemskem registru, pozna programe:
Outlook Express
Netscape Messenger
Internet Mail and News
Virus zatem pregleda baze sporočil elektronske pošte, iz njih pobere elektronske naslove in se razpošlje nanje. Okužena sporočila ponavadi nimajo vsebine (telesa), včasih vsebujejo naključno besedilo. Enako velja za tematiko (Subject). Ime pripone se spreminja in je lahko EXE ali SCR, virus poišče EXE datoteko dolgo do 132K, jo okuži in pripne sporočilu (pri tem ohrani originalno ime datoteke, naprimer CFGWIZ32.EXE, SULFNBK.EXE, SYSAGENT.EXE, ...).
Tematika in vsebina je lahko sestavljena iz naključnih besed ki jih najde v .DOC in .TXT datotekah. Virus lahko doda tudi besede z naslednjega seznama:
sentences you ayant délibéré
sentences him to le présent arręt
sentence you to vu l',27h,'arręt
ordered to prison conformément ŕ la loi
convict exécution provisoire
, judge rdonn
circuit judge audience publique
trial judge a fait constater
found guilty cadre de la procédure
find him guilty magistrad
affirmed apelante
judgment of conviction recurso de apelaci
verdict pena de arresto
guilty plea y condeno
trial court mando y firmo
trial chamber calidad de denunciante
sufficiency of proof costas procesales
sufficiency of the evidence diligencias previas
proceedings antecedentes de hecho
against the accused hechos probados
habeas corpus sentencia
jugement comparecer
condamn juzgando
trouvons coupable dictando la presente
ŕ rembourse los autos
sous astreinte en autos
aux entiers dépens denuncia presentada
aux dépens
Virus se zatem poveže na enega od treh poštnih strežnikov preko protokola SMTP in se odpošlje. Virus v štirih od petih primerov spremeni drugo črko pošiljateljevega imena.
Virus ima v svojem telesu shranjenih deset elektronskih naslovov doslej okuženih uporabnikov (neke vrste zgodovino okuževanja). Virus se isti žrtvi pošlje samo enkrat.
Virus vsebuje tudi interni števec, ob določeni vrednosti onemogoča delo - ko se uporabnik z miško približa ikoni, jo virus premakne (ikona "beži" pred puščico).
Mesec dni po okužbi virus prepiše vse datoteke na lokalnih in omrežnih diskih z besedilom "YOUARESHIT". V okolju Win9x pobriše tudi CMOS, Flash BIOS in vsebino trdega diska. Zatem izpiše besedilo:
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT
Virus vsebuje tudi naslednje besedilo:
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden)
res cist nedolzen ..
Virus vsebuje izjemno nevarne elemente, ki lahko ob določenih pogojih pobrišejo datoteke na trdem disku, CMOS pomnilnik in vsebino Flash BIOS-a (tako kot virus Win95.CIH oziroma Chernobyl). Dolžina virusa je okoli 30Kb in je napisan v strojnem jeziku.
Ob zagonu (naprimer ob kliku na okuženo pripono) se namesti v Windows pomnilnik, nekaj časa teče v ozadju, nekaj minut počiva ter kliče svoje rutine za okuževanje lokalnih in omrežnih Windows datotek, širjenje po elektronski pošti...
Virus se namesti v pomnilnik tako, da dostopa do aktivnega procesa EXPLORER.EXE in ga popravi tako, da doda 110 znakov dolgo zagonsko rutino, ki sproži virus v pomnilniku programa EXPLORER. Tako se virus namesti kot komponenta procesa EXPLORER.EXE in deluje v ozadju. Pred zagonom počaka tri minute.
Virus zatem poišče prvo datoteko v imeniku WINDOWS, jo okuži ter doda v Windows sistemski register pod HKLM\Software\Microsoft\Windows\CurrentVersion\Run in v WIN.INI področje [windows] parameter "run=". S tem povzroči aktiviranje virusa ob naslednjem zagonu sistema Windows.
Program je okužen tako, da se ne sproži po aktiviranju virusa temveč se preneha izvajati. Tako se virus aktivira brez da bi se okuženi program dejansko pognal in bi ga uporabnik opazil.
Virus zatem poišče in okuži datoteke .EXE in .SCR na dostopnih imenikih in diskih. Najprej okuži datoteke v imenikih WINNT, WINDOWS, WIN95 in WIN98. Rutina se naključno sproži v treh od štirih poizkusov. Zatem virus okuži še vse datoteke na vseh lokalnih diskih. Nekatere datoteke okuži narobe in jih tako trajno poškoduje, take datoteke je potrebno nadomestiti z originalnimi.
Virus zatem pregleda vse omrežne dodelitve (share) z možnostjo pisanja in okuži vse datoteke v imenikih WINNT, WINDOWS, WIN95, WIN98 ter se doda v "run=" vrstice datotek WIN.INI. S tem se ob naslednjem zagonu okužijo tudi ostali Win9x računalniki v omrežju.
Virus kreira tudi posebno .DAT datoteko za svojo uporabo, ime in lokacija datoteke sta odvisna od imena računalnika, naprimer:
Ime računalnika Ime datoteke
WIN98 -> CQL98.DAT
PUPKIN -> JEJOQL.DAT
CS-GOAT -> WG-SKYF.DAT
Datoteko naredi v enem od imenikov, izbira med Windows, 'Program Files', osnovnem imeniku C: drive oziroma osnovnem imeniku sistemskega diska.
Virus EXE datoteke okuži tako, da jih je težko pozdraviti. Svojo kodo kriptira s polimorfno rutino in se doda na konec programov. Za zagon virusa poskrbi druga kriptirana rutina.
Virus se širi preko programa za elektronsko pošto ki je naveden v sistemskem registru, pozna programe:
Outlook Express
Netscape Messenger
Internet Mail and News
Virus zatem pregleda baze sporočil elektronske pošte, iz njih pobere elektronske naslove in se razpošlje nanje. Okužena sporočila ponavadi nimajo vsebine (telesa), včasih vsebujejo naključno besedilo. Enako velja za tematiko (Subject). Ime pripone se spreminja in je lahko EXE ali SCR, virus poišče EXE datoteko dolgo do 132K, jo okuži in pripne sporočilu (pri tem ohrani originalno ime datoteke, naprimer CFGWIZ32.EXE, SULFNBK.EXE, SYSAGENT.EXE, ...).
Tematika in vsebina je lahko sestavljena iz naključnih besed ki jih najde v .DOC in .TXT datotekah. Virus lahko doda tudi besede z naslednjega seznama:
sentences you ayant délibéré
sentences him to le présent arręt
sentence you to vu l',27h,'arręt
ordered to prison conformément ŕ la loi
convict exécution provisoire
, judge rdonn
circuit judge audience publique
trial judge a fait constater
found guilty cadre de la procédure
find him guilty magistrad
affirmed apelante
judgment of conviction recurso de apelaci
verdict pena de arresto
guilty plea y condeno
trial court mando y firmo
trial chamber calidad de denunciante
sufficiency of proof costas procesales
sufficiency of the evidence diligencias previas
proceedings antecedentes de hecho
against the accused hechos probados
habeas corpus sentencia
jugement comparecer
condamn juzgando
trouvons coupable dictando la presente
ŕ rembourse los autos
sous astreinte en autos
aux entiers dépens denuncia presentada
aux dépens
Virus se zatem poveže na enega od treh poštnih strežnikov preko protokola SMTP in se odpošlje. Virus v štirih od petih primerov spremeni drugo črko pošiljateljevega imena.
Virus ima v svojem telesu shranjenih deset elektronskih naslovov doslej okuženih uporabnikov (neke vrste zgodovino okuževanja). Virus se isti žrtvi pošlje samo enkrat.
Virus vsebuje tudi interni števec, ob določeni vrednosti onemogoča delo - ko se uporabnik z miško približa ikoni, jo virus premakne (ikona "beži" pred puščico).
Mesec dni po okužbi virus prepiše vse datoteke na lokalnih in omrežnih diskih z besedilom "YOUARESHIT". V okolju Win9x pobriše tudi CMOS, Flash BIOS in vsebino trdega diska. Zatem izpiše besedilo:
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT
Virus vsebuje tudi naslednje besedilo:
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden)
res cist nedolzen ..
R@C@ ::
Res poučno !!!!!!!!!!!!!!!!
Upam samo da sem ga čisto exterminiral!
Uporabljam Norton Antivirus 2001 z Live update-om!
Upam samo da sem ga čisto exterminiral!
Uporabljam Norton Antivirus 2001 z Live update-om!
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Globalna okužba se širi, proizvodnja ustavljena tudi v Revozu (strani: 1 2 3 4 )Oddelek: Novice / Varnost | 57306 (45327) | SeMiNeSanja |
| » | Je tole spam, virus morda (strani: 1 2 )Oddelek: Programska oprema | 12759 (7927) | operator88 |
| » | Virus jdbgmgr.exe???Oddelek: Pomoč in nasveti | 1524 (1262) | AngelOfDeath |
| » | virus in OS (strani: 1 2 3 )Oddelek: Loža | 7043 (5632) | krneki0001 |
| » | Resno opozorilo - virus SIRCAMOddelek: Omrežja in internet | 1803 (1584) | SLOWWWeb.net |