Bat_Chode911

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 

BAT_CHODE911

BAT_CHODE911, znany także pod innymi nazwami: CHODE911, 911, Firkin, W95/Firkin, Chode, BAT.Chode.Worm, Foreskin, VBS_BAT611, jest wirusem, który nie rozpowszechnia się porzez pocztę email. Wykorzystując natomiast zestaw plików typu *.BAT przeszukuje dostępne podsieci dostawców usług internetowych w celu odnalezienia udostępnionych napędów dyskowych, na które może się skopiować. Zagrożone są następujące adresy IP:
206. XXX.YYY.ZZZ
209. XXX.YYY.ZZZ
200. XXX.YYY.ZZZ
199. XXX.YYY.ZZZ
216. XXX.YYY.ZZZ
208. XXX.YYY.ZZZ
165. XXX.YYY.ZZZ
205. XXX.YYY.ZZZ
171. XXX.YYY.ZZZ
12.73.YYY.ZZZ

Wirus rozpoczyna skanowanie sieci począwszy od adresu xxx.244.100.100 aż do xxx.255.255.255 (XXX.YYY.ZZZ). Jeśli nie odnajdzie udostępnionego napędu, wówczas powtarza proces poszukiwania.
Jeśli odnajdzie udostępniony napęd, sprawdza, czy jest to naped oznaczony jako C:. Jeśli tak, przypisuje go pod literą J:. Następnie sprawdza czy dysk jest już zainfekowany. Jeśli tak, powraca do ponownego przeszukiwania sieci (Subnet). Jeśli dysk jest czysty, usiłuje się nań skopiować. Oczywiście dysk musi być udostępniony z prawem zapisu. Wirus tworzy ukryty folder 
C:\Progra~1\Foreskin 
gdzie przegrywa niezbędne elementy. 
Pliki ashield.pif , netstat.pif, i winsock.vbs są kopiowane do folderu Program-StartUp, dzięki czemu są uruchamiane automatycznie po włączeniu komputera.
Zbiór winsock.vbs może zawierać instrukcje kasowania wszystkich zbiorów każdego 19 dnia miesiąca z następujących katalogów:
C:\Windows,
C:\Windows\System
C:\Windows\Command
C:\
Wyświetlany jest także komunikat:

You Have Been Infected By Chode
You may now turn this piece of shit off!

Wirus modyfikuje także plik AUTOEXEC.BAT (raz na pięć uruchomień) dodając linię która poprzez ewentualnie zainstalowany w systemie modem powoduje połączenie komputera użytkownika z numerem 911.
Następnie wyświetlany jest tekst:

“You have been slammed by foreskin mOThERfUCKER”

i formatowane są dyski D:, E:, F:, G: oraz H:

W celu usunięcia groźnego intruza należy skasować następujące katalogi:
C:\progra~1\chode,
C:\progra~1\foreskin,
C:\progra~1\dickhair

Usunąć pliki ASHIELD.PIF, NETSTAT.PIF, oraz WINSOCK.VBS z katalogu C:\WINDOWS\START MENU\PROGRAMS\STARTUP\.

BAT_CHODE911, wykrywa oprogramowanie Trend Micro wyposażone w najnowsze wzorce wirusów.

Zachęcamy do odwiedzenia naszego SKLEPU , zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ

Opracowano na podstawie materiałów Trend Micro
© 1999 Trend Micro Incorporated. All Rights Reserved

 

 

               

Copyright  Air Trend 1999-2004