Si lindi virusi i parë
Në fillim të
viteve të 60 kërkuesit e laboratorit Bell krijojn një lojë ku dy programe kanë për mision ta shkatrojn njëri tjetrin.Këta dy programe kishin aftësi që të vetë shumëzoheshin dhe këtu pra u vën bazat e virusit Termin virus i pari e përdor profesori amerikan Fred Cohen për të përshkruar programet që kanë mundësi të reprodukohen dhe të shpërndahen përmes rrjetit informatik.
Çfare janë viruset?
Virus është fjale e pergjitheshme për programe keqberese qe janë te afte te infektojne kompjuterat dhe te shperndahen vetvetiu. Viruset nuk lindin vetvetiu por programohen nga specialistet e kompjuterave për te kryer funksione te ndryshme. Viruset kane për qellim demtimin e skedareve, fshirjen e memorjes, pergjimin dhe spiunimin, vjedhjen e informacionit, ngadalesimin e rrjeteve kompjuterike, etj.
Virusi i parë informatik "Brain"
Dy pakistanez Basit dhe Amjad Alvi krijuan një program i cili sulmonte boot sektorin e disketes dhe te hard diskut. Qellimi i tij nuk ishte që ti shkatronte të dhënat por vetem ,të afishoj një reklame të tyre ! Vetem pas dy vjetesh lajmërohet antivirusi i parë për ta desaktivuar brain dhe për tu mbrojtur prej tij. Ndërsa sot nevojiten vetem disa orë për ta gjetur antivirusin.
Me shfaqjen e virusit Melissa merr fundë epoka ku viruset shpërndaheshin vetëm në menyre manuela, përmes disketave. Ky virus shpërndahet përmes internetit i fshehur një dokument Word dhe prej kompjuterit të infektuar ai shpërndahej në 50 adresat e para në blokun e adresave të Outlokut. Ky virus infektoi me shume se 300.000 kompjuter.
Sipas rrethit respektivisht hapsires ku jetojme dhe veprojne viruset kompjuterike i kalsifikojme ne:
1. Boot virus 2. File virus 3. Makro virus dhe 4. Network virus
1. Trojan-Downloader.Win32.Banload.dcd Data e detektimit Shtator 03 2007 23:50 GMT Ky Trojan shkarkon fajlla të tjerë me anë të internetit dhe I lëshon ata per ekzekutim ne kompjuterin e viktimes pa dijeninë e perdoruesit .Ky eshte Windows PE EXE file.Zë vend prej 113152 bajtësh.Nuk eshte I paketuar. Ky Trojan eshte ndërtuar me Visual Basic. INSTALIMI Kur te aktivizohet , Trojani e kopijon permbajtjen e tij ne direktorumin e fileve te Windowsit si : “lsass.exe": %Program Files%\Microsoft Studio Files\lsass.exe
Per tu siguruar se Trojani do te aktivizohet ne qdo moment qe sistemi restartohet , Trojani e regjistron fajllin ekzekutues të tij në regjistrin e sistemit :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "lsass" = "%Program Files%\Microsoft Studio Files\lsass.exe
Trojani pastaj krijon komanden e fajllit interpretues të quajtur "vcdg.bat" ne direktorumin e njejt : %Program Files%\Microsoft Studio Files\vcdg.bat
I shkruan lidhjet e meposhtme te ky fajll : netsh.exe firewall add allowedprogram PROGRAM="%Program Files%\Microsoft Studio Files\lsass.exe" NAME="Session Win32" MODE=ENABLE PROFILE=ALL
Gjat punes se tij , Trojani e modifikon konfigurimin e sistemit mbrojts te windows Xp-s (Firewall) ,lejon ndonje aktivitet te internetit te krijuar prej procesit keqdashës. "%Program Files%\Microsoft Studio Files\vcdg.bat" eshte pastaj e aktivizuar për ekzekutim
INSTRUKSIONET E LARGIMIT Nëse kompjuteri I juaj nuk ka ndonje përditesim te antivirusit , ose nuk ka antivirus fare , përcill instruksionet e mëposhtme qe ta fshish kete program te pa dëshiruar: 1. Perdore "task manager" qe ta perfundoi procesin e Trojanit . 2. Fshijeni regjistrin e sistemit te me poshtem : [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "lsass" = "%Program Files%\Microsoft Studio Files\lsass.exe" 3. Fshijeni fajllin origjinal të Trojanit. 4. Fshijeni direktoratin e meposhtem , gjithashtu edhe përmbajtjen e tij : %Program Files%\Microsoft Studio Files 5. Fshijni të gjith fajllat nga "Fajllat e Perkohshem Te Internetit " ( %Temporary Internet Files% ). 6. Perditesoje databazen e antivirusit tuaj dhe beje nje skanim te plot te kompjuterit tuaj.
2. HackTool.Perl.IrBot.d Data e detektimit: Tetor 05 2007 15:47 Ky program keqbërës eshte vegël e hackingut.Eshte "Perl" skript.Madhesia e fajlave te infektuar mund te jen prej 12 KB deri ne 69 KB Ne varesi me komandat e pranuara , boti mundet : 1. Ti fshij fajllat lidhes ( log files ) 2. Kerkon web site me fajlla të infektuar dhe gjithë perfshirës.Me urdher qe ta gjej nje web site , botit i jepet nje fjal . Pastaj e perdor fjalen me serviset e kerkimit te meposhtem :
http://www.google.nl
http://busca.uol.com.br
http://www.alltheweb.com
http://it.ask.com
http://search.aol.com
http://suche.fireball.de
http://search.lycos.com
http://arianna.libero.it
http://search.yahoo.com
http://search.live.comNese faqet jan gjetur të cilat permbajn fjalët "buterfly"dhe "uid=" ne adres , programi keqbërës e krijon kerkesen e cila e ridrejton adresen tek linku i meposhtem :
http://linknet*****.com/source/cmd.txt? Permbajtja e ketij fajlli pastaj do te vazhdoj ne faqen e serverit. Kjo e lidh kontrollin e programit dashakeq me te drejta ne server. Skripta gjithashtu permban tekstin e me poshtem : Yogya Ceria Scaner Bot Created By eviL-Zone -= evil =
INSTRUKSIONET E LARGIMIT Nese kompjuteri I juaj nuk ka ndonje perditesim te antivirusit , ose nuk ka antivirus fare , percill instruksionet e meposhtme qe ta fshish kete program te pa deshiruar: 1. Fshije Fajllin origjinal te programit keqdashes . 2.Perditesoje databazen e antivirusit tuaj dhe Beje nje skanim komplet te kompjuterit tuaj.
3. Win32 virus - Vedex Win32.HLLC.Vedex eshte nje virus i rrezikshem jo qendrues ne memorie dhe shoqerues i Win32 virus.Virusi brenda tij eshte fajll Windows PE EXE me rreth 45 Kb madhesi , i punuar ne Delphi. Ai kerkon per fajllat .EXE ne direktoratin aktual dhe ne nendirektoratin e tij dhe e infekton atë.Gjat infektimit i riemeron fajllat e viktimes me emrin '%FileName%vdx.dll' , Dhe i zevendeson ato me kopjen e tij , si pershembull : NOTEPAD.EXE -> NOTEPADvdx.dll Qe marr kontrollin ne fajllin drejtues , virusi e kopijon fajllin %FileName%vdx.dll te %FileName%vdx.dll.EXE dhe e ekzekuton atë, per shembull : NOTEPADvdx.dll -> NOTEPADvdx.dll.EXE Virusi gjithashtu e krijon fajllin C:\IOS.BAT me veti te fshehta , e shkruan grumbullin e trojanit ne kete fajll dhe e aktivizon atë.Ky Trojan , kur aktivizohet e perfshin fajllin e tij ne procesin e pafund , dhe e mbush te gjith hapsiren e lire te diskut. Burimi : Kaspersky Lab.
4. Email-Worm.JS.Nevezed
Nevezed eshte " Krimb " virus i shpendar me Microsoft Outlook.Krimbi ne permbajtjen e tij eshte Java skript rreth 4 KB dhe e perpunuar ne JAVA.
INSTALIMI Gjat instalimit Krimibi e kopijon permbajtjen e tij ne direktoratin e startupit te sistemit te windowsit , me emrin "StartUp.js" dhe direktoratin i sistemit te windowsit nën emrin "CmdWsh32.js".Ai pastaj e regjistron kete file ne sistemin e regjistrav si fajll i JAVA-CLASS.Krimbi gjithashtu e krijon nje kopje rezerv (BackUp) ne brendësin e tij ne direktoratin e root-it dhe te driverav tjer. Përhapja : Email Qe ta dergoj mesagjin e infektuar krimbi e perdor MS Outlook qe ta dergoj mesazhin te të gjitha adresat e gjetura ne librin e adresave te outlookut. Mesazhet e infektuara te derguara nga Krimbi kan titull dhe subjekt te ndryshem.Titulli dhe Subjekti i mundeshem do te mund te ishte :
Hello name
Hey name
Fwd: Hey You!
Fwd: Check this!
Fwd: Just Look
Fwd: Take a look!
Fwd: Loop at this!
Fwd: Check this out!
Fwd: It's Free!
Fwd: Look!
Fwd: Free Mp3s!
Fwd: Here you go!
Fwd: Have a look!
Look name!
Fwd: Read This!
Permbajtja e mesazhit eshte ashtu siq vijon :
Hello!
Check out this great list of mp3 sites that I included in the attachments! I can get any Mp3 file that I want from these sites, and its free! And please don't be greedy! forward this email to all the people that you consider friends, and Let them benefit from these Mp3 sites aswell! Enjoy !
Mesazhat e infektuar permbajn një nga këta atachmente :
Free_Mp3s.js
Fwd_Mp3s.js
Mp3_Sites.js
Mp3_Web.js
Mp3_List.js
Mp3_Pages.js
Web_Mp3s.js
Mp3-Sites.js
Fwd-Mp3s.js
Mp3-Fwd.js
Fwd-Sites.js
5. Trojan.BAT.Crash.b Ky Trojan Eshte i infektuar brenda dokumenteve HTML.Madhesia e programit do te varet ne madhesin e dokumentit . Trojani e aktivizon Microsoft HTML Application host (%System%\mshta.exe), Program standard per ekzekutim.Nese Trojani Leshohet ne Windows 98 Mund te shkaktoj qe sistemi te shkatrrohet.
INSTRUKSIONET E LARGIMIT Nese kompjuteri I juaj nuk ka ndonje perditesim te antivirusit , ose nuk ka antivirus fare , percill instruksionet e meposhtme qe ta fshish kete program te pa deshiruar: 1. Fshije Fajllin origjinal te Trojanit . 2.Perditesoje databazen e antivirusit tuaj dhe Beje nje skanim komplet te kompjuterit tuaj.
1. Trojan-PSW.Win32.Coced.220.lll
Ky Trojan ben pjes ne familien e trojanav që vjedhin fjalkalimet e shrytëzuesve.Eshte i dizajnuar qe te vjedh te dhenat ne menyr te fshehtë.Ky fajll zë hapsir prej 12,295 bajtesh dhe eshte i punuar ne Visual C++.
Instalimi :
Pasi te jet aktivizuar , Trojani e kopijon fajllin e tij ekzekutues tek direktorati I sistemit te windowsit :
%System%\mswinrun.exe
Trojani gjithashtu e depaketon fajllin e meposhtem nga permbajtja e tij :
%Temp%\Naebi220.exe
Trojani gjithashtu e merr informatat e modemit I perdorur nga sistemi qe te lidhet ne internet.Ai gjithashtu I merr fjalkalimet ne modem duket e perdorur :
WNetEnumCachedPasswords.
Nese CuteFTP eshte I instaluar ne kompjuterin e viktimes , Trojani do ta merr permbajtjen e fajllit te me poshtem :
C:\Program Files\CuteFtp\Tree.dat
Trojani I dergon informacionent e marrura tek email-i i shrytezuesit keqdashes.Trojani e perdor mail.computer.com qe te dergoj mesazha.
2. Net-Worm.Win32.Dabber.a
Ky "krimb" shperndahet permes internetit duket perdorur dobësi ne perberjen e FTP-së te Worm.Win32.Sasser.
Ky krimb ze vend rreth 29696 bajt , dhe eshte i paketuar me anë te UPX. Kur te instalohet , krimbi e kopijon permbajtjen e tij ne direktorumin e sistemit te windowsit nën emrin package.exe
c:\Documents and Settings\All Users\Start Menu\Programs\Startup\
%windir%\All Users\Main menu\Programs\StartUp
Krimbi e regjistron kete fajll ne regjistrin e sistemit :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"sassfix"="%System%\package.exe"
Krimbi kerkon regjistin e sistemit per fajlla te instaluar nga Sasser
avserve2.exe avvserrve32 avserve skynetave.exe
dhe i fshin ata .Ai gjithashtukerkon dhe i fshin fajllat e instalum prej krimbav tjerë :
Video Microsoft Update Drvddll.exe Drvddll_exe drvsys drvsys.exe ssgrate ssgrate.exe lsasss lsasss.exe Taskmon Gremlin Window Video Process TempCom SkynetRevenge MapiDrv BagleAV System Updater Service soundcontrl WinMsrv32 drvddll.exe navapsrc.exe Generic Host Service Windows Drive Compatibility windows
Krimbi e skanon internetin per Ip adres normale , duket kerkuar per viktima te tjera qe e kan komponentet e Sasser-it te instaluara ne portin 5554.
Kur Krimbi e gjen ndonje compjuter viktim te pershtatshe , ai i dergon fajlla te demshem te viktima dhe e infekton sistemin.pastaj e aktivizon mbrojtsin e komandave ne portin 8967.Ai gjithashtu instalohet ne portin 9898 qe te pranoj komanda te reja.
3. Virus.MSAccess.AccessiV
Ky eshte virusi i parë "i madh" i cili e infekton databazen e Microsoft accessit.Virusi e zevendeson Skripten Autoexec ne databaz , dhe e kopijon pjesen shtes te virusit ne datatabazë.
Kur databaza e infektuar te hapet , skripta Autoexec aktivizohet.Ne databazen e infektuar menjeher fillon funkisoni i virusit i thirrur "AccessiV"qe kerkon per te gjitha databazat ne direktoratin aktual dhe i inkfekton ato.Duke kerkuar virusi e perdor masken " *.MBD ".
Virusi nuk e menifeston veten ne ndonje menyr tjeter.Ai permban komentet :
Find MS Database File! Find another MS Database File!
AccessiV.b Ky eshte virusi i dyt i njohur si Access macro-virus, i cili eshte shum i ngjajshem me ate te parin.Ne mars , ky virus e shfaq nje mesazh :
AccessiV - Strain B I am the AccessiV virus, Strain B Written by Jerk1N, of the DIFFUSION Virus Team AccessiV was/is the first ever Access Virus!!!
Pastaj e krijon dhe e ekzekuton fajllin e infektuar prej virusit DOS COM "Jeskin.442".
4. BAT.Looper
BAT.Looper -- Eshte nje virus-skript e rrezikshme.Eshte e punuar ne BATCH per DOS.Ka madhesi rreth 65 bajtësh.Kur te aktivizohet , ai kerkon per fajllat .ba? ne direktoratin aktual, per fajllat si .b?t ne direktoratin kryesor dhe per fajllat ?*.* ne diskun C:\ . Ai shkruan nje kod ne fajllin e infektuar , ne kete menyr ai e fshin permbajtjen aktuale.Virusi nuk e tregon ekzitimin e tij ne menyren e tij.
5. Trojan-Spy.Win32.Banker.u
Ky Trojan spiun eshte i dizajnuar qe te vjedh informata te rendesishme financiare.Ai gjithashtu e ka edhe nje funksion te fsheht. Permbajtja e Trojanit eshte file ekekutues Windows PE me perafersisht madhesi prej 10 KB(kilobajt),e paketuar duke perdorur UPX. Fajlli i depaketuar eshte perafersisht 75 KB. Duke e instaluar permbajtjen e tij , Trojani e krijon fajllin e meposhtem ne Direktoratin e sistemit te Windowsit (Windows System direcotry) :
lsd_f3.dll iesprt.sys
ose
lsd_f3.dll timestamp.sys
Banker.u krijon hyrjet e më poshteme ne regjistrin e sistemit (system regjistry) :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\f3dsl] "Dllname"="lsd_f3.dll"
"Startup"="LSD_F3"
"Impersonate"="1"
"Asynchronous"="1"
"MaxWait"="1"
Trojani e skanon te gjith rrjetin e lejuar , qe te gjej ndonje informacion tjeter financiar. Banker.u e ka funkisonin e fsheht , i cili e lejon shrytezuesin keqdashës me te drejta te plota qe te kyqet ne kompjuterin e infektuar dhe e ben te mundshme qe te nxjerr fajlla prej interneti dhe ti ekzekuton ata ne kompjuterin e viktimes.
6. Trojan-Dropper.Ichitaro.Tarodrop.a
Ky trojan eshte i dizajnuar qe ta instaloj nje tjeter Trojan tek kompjuteri i viktimes pa e ditur shfrytezuesi.Fajlli kryesor i Trojanit eshte fajlli Justsystem Ichitaro (JTD) i cilli zë vend prej 134835 bajtësh. Ichitaro eshte programi me i njohur Japonez per editim te tekstit.
Pasojat : Trojani eshte dokument standard Ichitaro me perhapje .jtd Pasi te jet aktivizuar , Trojani e ben nje asgjesim te pa deshirueshem ne suitën e Ichitaro Office. I depaketon fajllin ekzekutues .exe i quajtur "ahah.exe" dhe e ruan ate ne direktoratin e perkohshem te windowsit :
%UserProfile%\Local Settings\Temp\ahah.exe
Pastaj e aktivizon fajllin per ekzekutim. Ky fajll do te detektohet nga Kaspersky Anti-virus si Backdoor.Win32.Papi.a
7. VBS.Rabbit.c
Ky virus eshte i punuar ne gjuhen Windows Script , dhe eshte i pari virus i njohur i ketij lloji , i shfaqur ne tetor te vitit 1998.Ky virus eshte i thjesht - me vetem 10 komanda.Ai kerkon per skripta tjera ne direktoratin aktual dhe i mbishkruan ato.
Ai e perdor File System Object (FSO) qe ta gjej vendndodhjen e fajllit dhe e infekton atë.Per shkak te kesaj menyre të të infektuarit , ai gjithashtu eshte i gatshem te infekton java skripten (JS) me aq sukes sa fajllat VBS.
Virsui e ka edhe nje " insekt " më të vogël , qe kur te ekzerkutohet nga shfletuesi (browseri), Virusi i infekton te gjith fajllat ne ne shporten e fshehtë te shfletuesit dhe i kopijon ata ne desktopin e komjuterit.Kur kjo te ndodh , desktopi i kompjuterit mbushet me ikona te skriptave te infektuara.
Me daten 15 te cilit do muaj , Virusi e krijon nje fajll URL me emrin " CB.URL" ose "The CodeBreakers.URL" (emri varet nga versioni i virusit) dhe e shkruan referencen e URL-së këtu : "
http://www.codebreakers.org".Shumica e versioneve te virusav me von aktivizohen me kete URL. Gjat këtij procesi , virusi gjithashtu e shfaq mesazhin e meposhtem :
VBSv v2.0 by Lord Natas/CodeBreakers
Virusi gjithashtu permban komentin e meposhtem :
VBSv Version 2.0 by Lord Natas/CodeBreakers First Windows Scripting Virus
8. VirTool.MSWord.Aspee
Ky eshte virus "macro" per Microsfot Word 97. Eshte nje Dokument i Wordit (fajll DOC).Ka perafersisht 29.184 bajt. Eshte i shkruar ne gjuhen e MSWordit.
Pasojat :
Ky program mundet te perdoret si komponent ne virusat tjer.E pengon radhitjen e frazav dhe teksit duke perdorur taste normale.Qe te mund ta beje kete , ai perdor : AntiSocial Poly-Encryption Engine v.1.0.
