Top 5 virus de la DNA Software

DNA Software, Computer Associates Regional Representative prezinta o scurta analiza a acelor mai puternici virusi si coduri malitioase inregistrate de Computer Associates in saptamana 22 - 28 Septembrie 2003.

1. Win32.Swen.A este un vierme care se poate distribui prin sistemul de email, prin fisierul P2P si canalul IRC. Are o marime de 106,496 bytes.
Odata activat, Swen.A se va copia in in directorul Windows utilizand litere la intamplare pentru a se denumi. Viermele le blocheaza utilizatorilor posibilitatea de a face schimbari de registru, ceea ce face eliminarea manuala a viermelui sa fie destul de dificila

Pentru a preveni utilizatorul importiva modificarii cheilor de registru prin folosirea fisierelor .REG existente, aceasta valoare este, de asemenea, modoficata pentru a indica un mesaj de falsa violare a accesului la memorie: HKCRregfileshellopencommand(Default) = ''cxsgrhcl.exe showerror''
Viermele creeaza aceasta cheie de registru pentru uz propriu, cu ajutorul acesteia putand sa urmareasca numele aleatorii pe care le genereaza.

2. Win32.Klez.H ste un vierme care poate detecta retelele si se extinde folosind protocolul SMTP si profitand de fisierele disponibile in retea. In plus, infecteaza directorul Program Files cu un virus polimorf.
Continutul mesajului poate fi constituit dintr-o lista de fraze din cadrul virusului. Fiecare mesaj contine un cod HTML care exploateaza vulnerabilitatile de tip ''Incorrect MIME Header'' din Internet Explorer, Outlook si Outlook Express. Daca reuseste, atasamentul de e-mail va fi deschis pentru vizualizarea mesajului, fara voia utilizatorului.

3. Win32.Bugbear.B este un vierme de e-mail scris in MSVC. Ca functionare este similar cu varianta sa originala Win32.Bugbear, desi aceasta varianta infecteaza fisierele .exe selectate si are o natura usor poliforma.Viermele se transmite ca atasament la e-mail. Utilizatorii ar trebui sa ia in calcul faptul ca numele atasamentului este imprevizibil (atunci cand alege numele atasamentului, viermele cauta in My Documents si alege o extensie pif, exe sau scr). Dubla extensie constituie mecanismul de semnalizare.

4. Win32. Spybot este un bot de IRC. Datorita modului flexibil si modular in care este distribuita sursa pentru acest bot, exista numeroase variante, usor diferite ale acestui bot. Cele mai multe dintre acestea vor permite calculatorului infectat sa fie controlat intr-un fel sau altul de la distanta de un utilizator prin IRC (Internet Relay Chat), in vreme ce alte variante au posibilitatea de a se transmite prin retelele P2P.
Win32.Spybot poate in plus (in functie de varianta): aa se transmita prin: retelele KaZaA P2P, sau utilizand programele backdoor, Kuang sau Sub Seven, sa faca download la fisiere via Internet, sa se logheze, sa distruga procesele programelor de firewall sau de antivirus pentru a evita detectarea sau sa se comporte ca un server HTTP.
Spybot se autoinstaleaza utilizand registrul by default, modificand urmatoarele chei:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

5. Win 32 Nov.Upd, un troian detectat de cele mai recente semnaturi de virusi ale CA.
Troianul este un program (de cele mai ori cu continut malitios) care se autoinstaleaza sau ruleaza pe computerul afectat fara a da semne distincte asupra prezentei sale. Acesta nu se instaleaza si nici nu ruleaza automat pe computerul afectat, dar il poate determina pe utilizator sa declanseze instalarea sau executarea luand aspectul unui alt program (joc sau patch) sau poate veni impreuna cu programe licentiate, instalarea declansandu-se in momentul in care programul gazda este executat.
In ceea ce priveste acest troian nu exista inca nici o alta informatie, nici detalii specifice.