Sākumlapa » Bez kategorijas » VBS.Potok.A – pirmais Internet tārps, kurš izmanto NTFS plūsmas

VBS.Potok.A – pirmais Internet tārps, kurš izmanto NTFS plūsmas

VBS.Potok.A (aka VBS/Stream, VBS/Vdrive) ir Internet
tārps, kurš, pēc būtības, ir VBS-skripts un
izplatās kā e-pasta pielikums. Tas ir darbotiesspējīgs
WindowsNT/2000 vidē.

Šis ir pirmais zināmais tārps, kurš savai
funkcionēšanai izmanto NTFS plūsmas. Tas šo metodi izmanto,
cenšoties slēpt savu klātbūtni. Vīrusa kods tiek
iekopēts NTFS plūsmās, un pēc tam, tieši pirms tā
izpildīšanas, tiek iekopēts atpakaļ failā.

Aktivizējot tārpu, tas faila veidā iekopē sevi WINDOWS
katalogā: driver.doc[daudz tukšumu].vbs. Pēc tam tas
cietajā diskā meklē NTFS sadaļu. Ja tas to neatrod, tad
skripts darbību beidz. Pie meklējumu pozitīva iznākuma,
skripts failā %WinDir%odbc.ini rada četras plūsmas (mail, main,
user, group).

Plūsma “mail” satur skriptu ar instrukcijām
izsūtīt tārpa kopiju uz pirmajām 50 adresēm no
Microsoft Outlook adrešu grāmatas. Tārpa izsūtītais
ziņojums izskatās šādi:

Tēma: New
Generation of drivers.
Saturs:

Microsoft has
published new driver for all types Video Cards, compatible with Windows
95/98/NT/2000/XP. You can read about it in attachment document. Best wishes,
Microsoft.

Pievienotais
fails:
driver.doc[tukšumi].vbs

Pieliktā faila garums ir 9K un iekš Microsoft Outlook bieži
izskatās nekaitīgs – “driver.doc”.

Plūsmas “main”, “user” “group” satur
skriptus ar instrukcijām tārpam radīt lietotāju
“Lord_Nikon” un pievienot šo lietotāju sistēmai
kā administratoru.

Tārpa galvenais skripts katras plūsmas tekstu saglabā
failā %WinDir%SYSTEM32RASNOTEPAD.VBS.

Nobeigumā tārps rada failu %WinDir%SYSTEM32GO.VBS, kurš
satur instrukcijas nolasīt katru plūsmu un ierakstīt to
failā NOTEPAD.VBS, pēc kam fails GO.VBS tiek nodots
izpildīšanai.

Papildus informācijas iegūšanai tāpat lasiet
vīrusa Win2K.Stream
aprakstu, tas arī ir pirmais zināmais Windows vīruss, kurš
failu inficēšanai izmanto metodi “stream companion. Šī
metode balstās uz NTFS failu sistēmas iespējām radīt
datu papildu blokus (datu “plūsmas” – streams), kuri ir
asociēti ar konkrētu failu.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 54 = 64

Uz augšu