MSNi kaudu leviv viirus Bropia! :: Hinnavaatluse Foorumid

suurpealik · HV Guru liitunud: 04.06.2002

AVG võttis ilusti asja vahele. (muidugi sai peale pandud alles siis, kui masin oli nakatatud)

ajee · HV kasutaja liitunud: 26.08.2003

Ikkagi siis vabavaralised uuendavad definitions faile hiljem

Kas ikkagi Norton AV ja NOD32 on siis kõige turvalisemad?
E: suurpealik jõudis juba mu märkust parandada

rillekas · HV vaatleja liitunud: 21.01.2005

Kas sellel MSNi viirusel mingeid kindlaid tunnuseid pole? Et saaks kohe aru kui sees on...

biomehanik · HV Guru liitunud: 03.11.2004

biba · HV kasutaja liitunud: 23.01.2004

Algatuseks hea soovitus, mis leidsin selle Bropia vastu:
"Safemode, Run Regedit ja kustutada igalt poolt väärtused serpe, ltwob ja avnort. Siis saab tavareziimis käima panna ja antiviiruse lahti lasta."
... seegi hää, saab vähemalt tõrjed käima ajada;)

Alari A. · HV Guru liitunud: 19.12.2002

kellelgi see viirus system restore ka nahka pistis?

kjaups · MeesKesTuliMetsast liitunud: 02.02.2005

hi hiiii.... ega mul viiruse tõrje ei töötagi juba viimased 2 nädalat.

.
aga ennem kui töötas siis ikka päevas üritas 3-6 korda tulla TROJAN arvutisse läbi msnni, ga päev ikka hoian MSNni lahti, isegi magades.

WIN ka praegu nii p***sses et jube, täna panen uuesti peale ning siis läheb norton 2005 ka loosi. see ikka tõmbas igasuguseid vahele.

Westswamp · HV Guru liitunud: 11.06.2002

NAV 2K5 võttis asjal kenasti sabast kinni 8)

kjaups · MeesKesTuliMetsast liitunud: 02.02.2005

kotkas1000 · HV kasutaja liitunud: 13.12.2002

neros · HV Guru liitunud: 26.11.2003

Miskipärast pole veel ühtegi inimest mulle seda saatnud... huvitav kas ITGurulisus nakatab ja kõik on äkitselt targaks saand et ei võta suvalist pahna vastu mu listis

lol, või on nad ise nii targad et ei võta... kurat seda teab

Või on asi hoopis MSN 7-s... ei tea

Mul hakkab varsti kaspersky 5 pro litsents läbi saama... peab vist legaalse NAV 2004-a peale panema

moboga tuli kaasa...
Nojah - eks näeb

biba · HV kasutaja liitunud: 23.01.2004

kotkas1000 · HV kasutaja liitunud: 13.12.2002

Ma ei saa sinna leheküljele minna. Viskam browser, klõps, kinni kohe ju. Selles ongi point. Arvutis pole ühtegi AV proget.

biba · HV kasutaja liitunud: 23.01.2004

sa ikka safe modes need failid ära kustutad? "find"-ga otsid nad ilusti üles ning muudkui "delete" ja seda niikaua, kui rohkem ei leia. Ja arvatavasti tuleb sul nakatamata arvutit tõrje kättesaamiseks kasutada. Ning siis transpordid selle oma nakatunud arvutisse (päris mitu mega) ning paned käima.

P.S mul polnud ka lõpuks ühtegi av proget järgi jäänud... , kuid kõik vajaliku saab eelnevalt antud lingilt.

Blody_Hell · HV vaatleja liitunud: 22.12.2004

progredest ad aware ei leidnud aga spysbot ei lülitund sissegi enam ja sama ka NOD32

Troll · HV Guru liitunud: 01.06.2002

maoloputus · HV kasutaja liitunud: 23.06.2004

Mul oli AVG asi ei teinud midagi lasi ilusti läbi :S . kahjuks pidin format C tegema aga kui oleks oodanud ühe päeva oleks saanud sotti asjast. nimelt lahendus selline>

Eile-täna hakkas levima posu usse, kasutades populaarset Windowsikasutajate sõnumineerijat MSN. Oma väikseid voldilisi virtuaalkehasid topivad läbi interneti wormhole'ide Sumom.A, Bropia.K ja Kelvir.B. Viimane kasutab MSN kasutaja meelitamiseks laused "lol! see it! u'll like it" ning istutab masinasse rbot nimelise trooja. Bropia ilmub samuti .pif faili kujul ning istutab rbot trooja nagu ka järmine tegelane. Kaugelt ägedam teistest - Sumom aka Crog aka Fatso - levib nagu eelmisedki MSN kaudu, lisaks oskab ta p2p võrkudesse ronida ning ennast CD-R peale kirjutada. Windowsi kataloogis esineb ta nime 'msmbw.exe' all, system folderisse visatakse 'formatsys.exe' ja 'serbw.exe' nimega failid. Uss kopib C: ketta juurikasse ennast järgmiste nimede all: lspt.exe Crazy frog gets killed by train!.pif Annoying crazy frog getting killed.pif See my lesbian friends.pif LOL that ur pic!.pif My new photo!.pif Me on holiday!.pif The Cat And The Fan piccy.pif How a Blonde Eats a Banana...pif Mona Lisa Wants Her Smile Back.pif Topless in Mini Skirt! lol.pif Fat Elvis! lol.pif Jennifer Lopez.scr, lisaks lähevad C: juurkataloogi veel Message to n00b LARISSA.txt ja Crazy-Frog.Html. Uss va kavalpea keerab veel kinni system restore ning selle sisselülitamise koha, keelab Explorer'il peidetud failide näitamise ja hakkab tulemüüride-antiviiruste protsesse tapma.

Asi tuli nii kähku läbi et ei saanud cancle tehagi localnetwork ikkagi ju

aga see ei lasknud mul isegi muusikat kuulata ja teha teatud operatsioone.

Tomek · HV kasutaja liitunud: 07.11.2001

http://www.f-secure.com/v-descs/sumom_a.shtml
____________________________________________________

The worm's file is a PE executable file about 17 kilobytes long packed with Mew file compressor. The unpacked file's size is over 155 kilobytes. The worm is written in Visual Basic.

Installation to system

When the worm's file is run, it installs itself to system. It copies itself as 'msmbw.exe' file to Windows folder and as 'formatsys.exe' and 'serbw.exe' files to Window System folder. The worm then creates a startup key for one of its dropped files:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<value>" = "%winsysdir%\serbw.exe"

where <value> can be one of the following:

ltwob
serpe
avnort

Additionally the worm copies itself to the root of C: drive with the following names:

lspt.exe
Crazy frog gets killed by train!.pif
Annoying crazy frog getting killed.pif
See my lesbian friends.pif
LOL that ur pic!.pif
My new photo!.pif
Me on holiday!.pif
The Cat And The Fan piccy.pif
How a Blonde Eats a Banana...pif
Mona Lisa Wants Her Smile Back.pif
Topless in Mini Skirt! lol.pif
Fat Elvis! lol.pif
Jennifer Lopez.scr

Also the worm drops the following files to the root of C: drive:

Message to n00b LARISSA.txt
Crazy-Frog.Html

The 'Message to n00b LARISSA.txt' contains a very rude message to the author of Assiral worm. This message can be opened in Notepad. The 'Crazy-Frog.Html' is opened in a web browser after the worm starts.

The worm does not allow to delete its files. If any of its files gets deleted, the worm copies it back to a hard drive after a few seconds.

Spreading via MSN Messenger

The worm is capable of spreading itself in Instant Messages to all MSN Messenger contacts found on an infected computer.

Spreading to P2P networks

The worm attempts to spread in peer-to-peer networks. It copies itself to the 'My Shared Folder', 'Program Files\eMule\Incoming' and 'Shared' folder of a current user under 'Documents and Settings' folder with the following names:

Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe

When someone gets access to these shared folders, downloads and runs any of these files, then his computer becomes infected.

Spreading to CD-Rs

The worm also copies itself as 'autorun.exe' file to the current user's 'Local Settings\Application Data\Microsoft\CD Burning' folder and creates the 'autorun.inf' file that contains instructions to run the 'autorun.exe' file when the media is inserted into a drive. As a result, when a user burns a CD-R, it becomes infected and can infect other computers if used there.

Payload

The worm has a set of payloads. First, it disables System Restore and its configuration option. Then it configures Windows Explorer not to show hidden files. The 'MSLARISSA.pif' file gets deleted (if present) when the worm starts.

When active in memory, the worm kills processes with the following names:

avengine.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
nisum.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
cmd.exe
msconfig.exe
msdev.exe
ollydbg.exe
peid.exe
petools.exe
regedit.exe
reshacker.exe
taskmgr.exe
w32dasm.exe
winhex.exe
wscript.exe

As a result certain security and anti-virus software as well as Windows Task Manager and Registry Editor stop working.

Additionally the worm tries to redirect locations of the following websites to the 64.233.167.104 address by modifying the HOSTS file:

www.symantec.com
www.sophos.com
www.mcafee.com
www.viruslist.com
www.f-secure.com
www.avp.com
www.kaspersky.com
www.networkassociates.com
www.ca.com
www.my-etrust.com
www.nai.com
www.trendmicro.com
www.grisoft.com
securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
update.symantec.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
nai.com
networkassociates.com
ca.com
mast.mcafee.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
grisoft.com
sandbox.norman.no
www.pandasoftware.com
uk.trendmicro-europe.com

The worm closes application windows if the following strings are found in the window captions:

ADWARE
ALERTS
AUTOSTARTED
BENIGN
BLOCKER
BULLGUARD
BUSTER
CENTER
-CILLIN
CLEANER
Command
DESTROY
DETECTION
DOCTOR
EARTHLINK
EDITOR
ELIMINATE
Filter
FIREWALL
FIXING
HUNTER
LIVEUPDATE
MALWARE
MALWHERE
MCAFEE
NETCOP
NORTON
PROMPT
PROTECTOR
REGISTRY
REMOVAL
RESTORE
SANDBOX
SECURE
SECURITY
SOPHOS
SPYBOT
SPYWARE
STOPPER
SWEEPER
Update
VCATCH

Back to the Top

Detection

Detection for this malware was published on March 7th, 2005 in the following F-Secure Anti-Virus updates:

[FSAV_Database_Version]

Version=2005-03-07_02

Back to the Top

Technical Details: Alexey Podrezov, March 7th, 2005;

F-Secure Corporation

AMD · HV veteran liitunud: 29.07.2003

kui kellelegi saadetakse see viirus, siis palun saatke see mulle

kogun msn'i viiruseid

Alari A. · HV Guru liitunud: 19.12.2002

AMD · HV veteran liitunud: 29.07.2003

scorp · HV kasutaja liitunud: 08.12.2002

Vot jama on.Ei saa isegi Safe Mode´s sisse.Ütleb,et psapi.dll not found.Kas see ka selle viirusega seotud või keegi lihtsalt faili ise eemaldanud.Ja kuidas safe modes ikka sisse saab.

abivajaja · HV vaatleja liitunud: 09.07.2004

oskab keegi öelda, kuidas ma süsteemi taastamise saan ära keelata? Eestikeelse XP taga ei oska midagi tea.
Üldist Arvutinimi Riistvara Täpsemalt Automatic Updates ja Kaugkasutus on ainult MyCompi all

Tomek · HV kasutaja liitunud: 07.11.2001

Ehk on sellest lehest abi.

Logi sisse administraatori õigustes (vastasel juhul puudub süsteemitaaste tab).
Kui ka administraatorina sellist tabi ei ole, siis tuleb Group Policy kallale minna.

Täpsem õpetus siis siin:
http://www.lts3000.com/ie/tip07.html

K3891 · HV veteran liitunud: 18.01.2003