Mybaby

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 


MYBABY, TROJ_MYBABYPIC.A, inaczej MYBABYPIC.A, I-Worm.Myba, Backdoor.MyBabyPic, rozmiar: 77,824 bajtów

Trojan MYBABYPIC.A  napisano w języku Visual Basic. Przychodzi jako załącznik poczty email. Oto przykład takiej feralnej wiadomości:

Temat: My Babypic
Treść: Its my animated baby picture!!!
Załącznik: MYBABYPIC.EXE

a tak wygląda obrazek:

My BabyPic, Its my animated baby picture!!!

Po uruchomieniu pliku pojawia się wiadomość wraz ze zdjęciem. Ze względu na obsceniczną naturę obrazu nie publikujemy. 

Dodatkowo wirus nadpisuje swoją zawartością pliki z następującymi rozszerzeniami: 
C, CPP, CSS, H, HTA, JPG, JPEG, JS, JSE, PAS, PBL, SCT oraz WSH. Zmienia także nazwy niektórych plików dodając do nazwy EXE.

Usuwa wszystkie pliki VBS i VBE, umieszcza także swój kod w plikach z rozszerzeniami: MP2, MP3 i M3U. Uwaga - tak stworzone duplikaty są wykonywalne !

Losowo włącza/wyłącza klawisze Numlock, ScrollLock oraz CapsLock key.

Stwierdzono także próby połączenia ze stroną http://www.youvebeenhack.com.

W katalogu systemowym Windows  umieszczane są następujące pliki :
MYBABYPIC.EXE
WINKERNEL32.EXE
WIN32DLL.EXE
CMD.EXE
COMMAND.EXE

W Windows NT, plik CMD.EXE podmienia plik systemowy o tej samej nazwie.

Trojan zmienia rejestry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\WINKernel32 = "C:\WINDOWS\SYSTEM\WINKernel32.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\mybabypic = "C:\WINDOWS\SYSTEM\mybabypic.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices = "C:\WINDOWS\SYSTEM\Win32DLL.exe"

Dzięki czemu uruchamia  się każdorazowo przy starcie Windows. W pasku zadań widoczny jest jako WINKERNEL32.

Ponadto dodawane są następujące registry:

HKEY_CURRENT_USER\Software\Bugger

HKEY_CURRENT_USER\Software\Bugger = "HACK<2K>"

HKEY_CURRENT_USER\Software\Bugger\mailed = "1"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\WINKernel32

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\mybabypic

HKEY_USERS\.DEFAULT\Software\Bugger

HKEY_USERS\.DEFAULT\Software\Bugger = "HACK<2K>"

HKEY_USERS\.DEFAULT\Software\Bugger\mailed = "1"

Trojan rozprzestrzenia się wysyłając pocztę email pod wszystkie adresy programu MS Outlook, włącznie z adresem ofiary. 

Jak usunąć?

  1. Wcisnąć Control-Alt-Del i ewentualnie skasować proces WINKERNEL32.
  2. Skasować następujace rejestry:
    HKEY_CURRENT_USER\Software\Bugger

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run\WINKernel32

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run\mybabypic

    HKEY_USERS\.DEFAULT\Software\Bugger3.
  3. Usunąć domyślną wartość rejestru:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices = "C:\ <Windows System Directory>\Command.exe"
  4. W środowisku Windows NT, odtworzyć CMD.EXE z bezpiecznej kopii.
  5. Skanować system przy pomocy programów antywirusowych Trend Micro i usunąć wszystkie pliki zidentyfikowane jako TROJ_MYBABYPIC.A. Stosować najnowsze wersje wzorców i programów skanujacych. Wirus jest także wykrywany przez internetowy skaner HouseCall.

Uwaga: Trojan działa przy włączonym Windows Scripting Host. Zachęcamy do zajrzenia na tę stronę, gdzie znajdują się informacje w jak w prosty sposób ograniczyć możliwość infekcji. 

Opracowano na podstawie materiałów Trend Micro
© 2001 Trend Micro Incorporated. All Rights Reserved

 

 

 

               

Copyright  Air Trend 1999-2004