TROJ_SONIC.B,
inaczej SONIC.B, I-Worm.Sonic.B, TROJ_SONIC.27MTX, TROJ_SONIC.28,
TROJ_SONIC.29, TROJ_SONIC.40, TROJ_SONIC.A - "Zdalnie sterowana bomba
zegarowa.
Trojan złożony z kilku
komponentów przychodzi wraz z pocztą email w postaci skompresowanego
programu GDI.EXE (rozmiar 25,088 bajtów, 55,808 bez kompresji). Po
uruchomieniu alarmuje użytkownika komunikatem:
<file
executed> is not a valid WIn32 application
Po tym jak użytkownik wciśnie
przycisk "OK" trojan tworzy nowy rejestr:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ryn\GDI
= C":\WINDOWS\SYSTEM\GDI.EXE"
Rejestr wskazuje plik, w
którym ukrywa się wirus, a który jest spakowany przez UPX ver. 1.01. Trojan
uaktywnia się przy każdorazowym uruchomieniu Windows i rezyduje w pamięci
ukrywając się wśród procesów obsługi systemu. Dzięki temu nie można
stwierdzić obecności programu przez wciśnięcie sekwencji CTRL-ALT-DEL.
Kolejną czynnością wirusa
jest nawiązanie połączenia z serwisem http://geocities.com,
gdzie znajduje się konto zawierające kolejne komponenty trojana. Po
odczytaniu pliku LASTVERSION.TXT do komputera ofiary sprowadzane są
ich najnowsze wersje, które mogą wykonywać przeróżne czynności
niekoniecznie za zgodą użytkownika systemu:
-
Wysyłać lub ściągać
pliki
-
Wyłączać program
serwera
-
Wydobywać informacje o użytkowniku
i systemie operacyjnym
-
Wyświetlać komunikaty
-
Wydobywać hasła
przechowywane w plikach podręcznych
-
Przechwytywać zawartość
wyświetlanych ekranów
-
Kopiować, kasować,
zmieniać nazwę, przesuwać pliki oraz wykonywać programy
a wśród rejestrów
systemowych pojawia się wpis:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\GDI
= "%windir%GDI32.EXE"
%windir% określa katalog w którym
zainstalowany jest Windows. Po pomyślnej instalacji głównego komponentu
(rozmiar 42,496 bajtów, bez kompresji 100,352) odszukiwane są pliki książki
adresowej Windows (pliki *.WAB), a pod wszystkie znalezione adresy email wysyłana
jest wiadomość, któa może wyglądać następująco:
Temat: I'm your poison.
Treść: <brak treści>
Załącznik: lovers.exe
Jak usunąć ?
1. Uruchomić edytor REGEDIT
2. Rozwinąć kolejno:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Current Version
Run
3. Odszukać i usunąć klucz zawierający GDI = "%windir%GDI32.EXE"
4. Przeskanować zasoby przy pomocy programu antywirusowego oraz usunąć
wszystkie pliki zidentyfikowane jako: TROJ_SONIC.B. Zalecamy
korzystanie z najnowszych wersji baz wirusów.
Zwracamy uwagę, iż wirus
występuje pod różnorodnymi , wymienionymi wyżej nazwami, a zdekompresowany
plik wirusa zawiera tekst: "SonicYouth".
Zachęcamy do odwiedzenia naszego SKLEPU
, zapoznania się z założeniami PROFILAKTYKI
ANTYWIRUSOWEJ
Opracowano na podstawie materiałów Trend
Micro
© 2000 Trend Micro Incorporated. All Rights Reserved
