καλημέρα και ήθελα σήμερα να διαβάσω κάτι από επειστιμονική φαντασία. ----- Original Message ----- From: "Χρυσούλα Καραθύμιου" <chrisa66@xxxxxxxxx> To: <orasi@xxxxxxxxxxxxx> Sent: Saturday, November 28, 2009 12:59 AM Subject: [orasi] Fw: Επικίνδυνος Ιός !!!!!!!! > ----- Original Message ----- > From: IGI-Group > To: chrisa66@xxxxxxxxx > Sent: Friday, November 27, 2009 10:07 AM > Subject: Επικίνδυνος Ιός !!!!!!!! > > > Επικίνδυνος Ιός κτυπάει τους χρήστες «σπασμένου» λογισμικού > > Οι μεγαλύτερες εταιρείες παραγωγής Antivirus McAfee, Kaspersky, και > BitDefender ανακάλυψαν ένα νέο ιό υπολογιστών (τον ονομαζόμενο QuickBatch > Trojan) που κυκλοφορεί και μολύνει τα συστήματα που δουλεύουν με > «σπασμένο» JAWS. > > Οι τελευταίες μελέτες έδειξαν ότι οι χρήστες του «σπασμένου» JAWS είναι > θύματα του ιού με το όνομα QuickBatch που έχει μορφή δούρειου ίππου και > αντί να τους παρέχει πρόσβαση στον υπολογιστή τους ανοίγει μια «τρύπα» στο > σύστημα ασφαλείας του λειτουργικού τους συστήματος απενεργοποιώντας το. > > Μέσω αυτού του ιού οποιοσδήποτε κακόβουλος χρήστης μπορεί να αποκτήσει > πρόσβαση > > στον υπολογιστή και να έχει πλήρη έλεγχο στα όποια δεδομένα υπάρχουν σε > αυτό. > > Η εμπειρία έχει δείξει ότι δεν υπάρχει καλός ιός υπολογιστών, και μερικοί > από αυτούς είναι πολύ επικίνδυνοι. > > Ένα καλό παράδειγμα είναι ο νέος ιός με το όνομα W32/QuickBatch.G!tr > Trojan που χτυπάει ειδικά τα μέλη της κοινότητας των τυφλών χρηστών. > > Ο ιός ανακαλύφθηκε για πρώτη φορά από την εταιρεία Superior Soft η οποία > και το έκανε γνωστό στις μεγάλες εταιρείες του χώρου. Συνήθως ο ιός > μεταφέρεται με τα «crack» που χρησιμοποιούνται για να «σπάσουν» το JAWS. > > Ο ιός δεν είναι εύκολο να καθαριστεί από τα προγράμματα antivirus καθώς > είναι κομμάτι του κώδικα του ?crack? οπότε κάθε φορά που τρέχει το > «σπασμένο» JAWS ενεργοποιείται εκ νέου! > > Επίσης η εταιρεία Fortinet Tech που έκανε ανάλυση του κώδικα του ιού > αναφέρει πως ο ιός είναι σχεδιασμένο να αλλάζει αυτόματα μορφή οπότε ακόμα > και αν το πρόγραμμα antivirus το βρει και το «καθαρίσει», την επόμενη φορά > που θα ανάψει ο υπολογιστής θα εμφανιστεί με νέο όνομα οπότε θα υπάρχει > ξανά στον υπολογιστή. > > Ο ιός ανήκει στην κατηγορία "QuickBatch" που είναι μια οικογένεια ιών που > παράγονται με ένα demo version του QuickBatch compiler που μετατρέπει τα > batch scripts σε αρχεία .EXE. > > Σύμφωνα με τις μελέτες ο ιός "W32/QuickBatch.G!tr διαγράφει συστηματικά > αρχεία των Windows που δεν χρησιμοποιούνται συχνά κάνοντας άχρηστο το > λειτουργικό, και καθώς αρχίζει με το να σβήνει τα αρχεία ασφαλείας αφήνει > το λειτουργικό σύστημα απροστάτευτο σε κακόβουλες επιθέσεις. Πολλές φορές > ο ιός κυκλοφορεί και ως Troj/Mbroot-A επίσης ως κομμάτι του κώδικα για το > ?Crack? του JAWS. > > Ο ιός αυτός καταστρέφει το Master Boot Record και το rootkit του σκληρού > δίσκου με αποτέλεσμα κάποια στιγμή όχι μόνο να γίνει άχρηστο το > λειτουργικό σύστημα του υπολογιστή, αλλά μπορεί και να καταστρέψει και το > ίδιο το σκληρό δίσκο. > > Όπως και ο «QuickBatch» και αυτός ο ιός δεν ανιχνεύεται και ακόμα και αν > βρεθεί από το πρόγραμμα antivirus όταν κάνουμε επανεκκίνηση του συστήματος > να ξαναεμφανιστεί με άλλο όνομα και να παραμείνει στο μηχάνημα. > > Η εταιρεία Zone BB αναφέρει ότι έχουν εντοπιστεί και περιπτώσεις οπού οι > χρήστες που χρησιμοποίησαν το crack αυτό να έχουν πέσει θύματα κλοπής > προσωπικών δεδομένων, όπως κωδικών πιστωτικών καρτών, στοιχεία για θέματα > υγείας, και άλλων σημαντικών πληροφοριών. > > Τα πρώτα δείγματα που εμφανίζονται (όταν ο υπολογιστής είναι μολυσμένος) > είναι όταν σταματήσει να λειτουργεί η ομιλία, κολλήσει το μηχάνημα και > θέλει επανεκκίνηση! > > Κατά την εγκατάσταση του ο ιός δημιουργεί τρία αρχεία που αντικαθιστούν τα > κανονικά αρχεία των Windows. Το ένα είναι το mci32.exe που κανονικά είναι > αρχείο των Windows, ένα αρχείο svchost.exe στον υποκατάλογο > Windows\Config. Επίσης και ένα αρχείο DLL με το όνομα securityService.dll > στον υποκατάλογο System των Windows. Κατά την αντικατάσταση των αρχείων ο > ιός επηρεάζει και το registry του λειτουργικού συστήματος. > > Το αρχείο DLL που παράγει φορτώνει κατά την έναρξη των Windows και καθώς > τα αρχεία που παράγει αντικαθιστούν τα κανονικά αρχεία των Windows δεν > ανιχνεύονται κατά την λειτουργία του Antivirus. > > Τα αρχεία που παράγει ο ιός έχουν σχεδιαστεί να προστατεύονται και να μην > μπορεί ούτε το Antivirus να τα σβήσει αλλά ούτε και χειροκίνητα ο ίδιος ο > χρήστης. > > Το αρχείο securityService.dll προστατεύει το svchost.exe για να μην > τερματίζεται από εργαλεία όπως το Task Manager και το αρχείο svchost από > την πλευρά του προστατεύει το mci32.exe για να μην διαγραφεί. Ίδια > φιλοσοφία λειτουργίας έχει παρατηρηθεί στους ιούς της οικογένειας > Troj/Zlob. Ακόμα το αρχείο securityService.dll επηρεάζει το Registry των > Windows αντικαθιστώντας το κανονικό κλειδί και να ενεργοποιήσει το > μολυσμένο αρχείο ακόμα και όταν γίνει αλλαγή στο Registry key > ?HKLM\SOFTWARE\Microsoft\Windows > NT\CurrentVersion\Winlogon\Notify\securityService? από διαγραφή του > αρχείου ή ακόμα και της εγγραφής αυτής. > > Κατά την επανεκκίνηση του λειτουργικού ο ιός αλλάζει και όνομα και > χαρακτηριστικά οπότε το πρόγραμμα Antivirus κάθε φορά που το βρίσκει και > προσπαθεί να το εξοντώσει μετά την επανεκκίνηση το βρίσκει με άλλο όνομα > και δεν το βλέπει καν. > > Με άλλα λόγια ο ιός αυτός δεν μπορεί να εξοντωθεί με κάποιο εύκολο τρόπο. > Ο μοναδικός τρόπος είναι να κάνεις οριστικό φορμάτ στον Υπολογιστή και να > εγκαταστήσεις όλα από την αρχή αλλά χωρίς να βάλεις το ?crack?. > > > > __________ Information from ESET NOD32 Antivirus, version of virus > signature database 4641 (20091127) __________ > > The message was checked by ESET NOD32 Antivirus. > > http://www.eset.com > > > > __________ Information from ESET NOD32 Antivirus, version of virus > signature database 4641 (20091127) __________ > > The message was checked by ESET NOD32 Antivirus. > > http://www.eset.com > > > _____________________ > > orasi mailing list > διαβάστε για αυτή την λίστα και τα θέματα που συζητά στο > //www.freelists.org/webpage/orasi > > Για να στείλετε ένα μήνυμα και να το δουν όλοι οι συνδρομητές της λίστας > στείλτε email στην διεύθυνση > orasi@xxxxxxxxxxxxx > > Για να διαγραφείτε από αυτή την λίστα μπορείτε οποιαδήποτε στιγμή να > στείλετε email στην διεύθυνση > orasi-request@xxxxxxxxxxxxx > και στο θέμα γράψτε unsubscribe. > > Το αρχείο της λίστας βρίσκεται στο > //www.freelists.org/archives/orasi > > ______________ > > > > _____________________ orasi mailing list διαβάστε για αυτή την λίστα και τα θέματα που συζητά στο //www.freelists.org/webpage/orasi Για να στείλετε ένα μήνυμα και να το δουν όλοι οι συνδρομητές της λίστας στείλτε email στην διεύθυνση orasi@xxxxxxxxxxxxx Για να διαγραφείτε από αυτή την λίστα μπορείτε οποιαδήποτε στιγμή να στείλετε email στην διεύθυνση orasi-request@xxxxxxxxxxxxx και στο θέμα γράψτε unsubscribe. Το αρχείο της λίστας βρίσκεται στο //www.freelists.org/archives/orasi ______________