U trendu

Nova napast: crv Goner.A

Krstarica

U trenutku kada je masovna infekcija virusom Badrans.b u toku, već se pojavila nova opasnost pod nazivom Goner.A. Reč je o crvu (po inficiranju se sam šalje na sve adrese iz adresara e-mail klijenta) koga su antivirusne kompanije, samo dan po otkrivanju (4. decembar) proglasile visokorizičnim, uočivši veliki broj infekcija.

Napisan u Visual Basic-u, novi crv za svoje širenje koristi Outlook i Outlook Express, ali i ICQ i mIRC. Putem e-mail poruka stiže u obliku attachment-a koji nosi naziv gone.scr i čija je veličina, u kompresovanom obliku 38K, a kada je otpakovan (proces se odvija automatski, pošto je fajl otvoren) oko 159K. Stiže sa porukom čiji je subject Hi, a sama poruka glasi: How are you? When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!.

Po otvaranju fajla (što naravno nikako ne treba činiti) dolazi do infekcije, a na ekranu se vidi prozor kao na slici. U pozadini, crv počinje da se šalje na sve adrese iz adresara, i kopira se u Windows direktorijum (C:WindowsSystemgone.scr) i upisuje navedenu lokaciju u HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun. Na ovaj način izmenjena Registry baza dovodi do automatskog startovanja crva svaki put kada se podigne Windows.

U sledećem koraku Goner.A briše antivirusne i firewall prgrame koje pronađe na računaru, tačnije njihove izvršne fajlove, tako da kompjuter ostaje bez zaštite. Ako su ovakvi prgrami trenutno aktivni, crv će to uraditi pri sledećem podizanju operativnog sistema. Takođe, Goner.A može da se širi pomoću programa ICQ ili IRC klijenta. U prvom slučaju, pronalazi prijatelje sa liste koji su online, i pokušava da i njima pošalje crva. Ipak, tako nešto se dešava samo uz asistenciju vlasnika zaraženog računara: pojavljuje se „send box“, i samo ako on/ona stisnu dugme send, crv će stići na željenu adresu. U slučaju IRC klijenta (mIRC), Goner.A dodaje skript u folder ovog programa, što omogućava da se zaraženi kompjuter koristi u DOS napadima. Trenutno su operatori mIRC-a blokirali kanal preko koga se odvija kontrola, tako da infekcija ne može da se iskoristi u svrhe napada.

Efikasna i potpuna zaštita je ne otvarati attachment gone.scr. Ako zbog nepažnje do aktiviranja ipak dođe, antivirusna kompanija Symantec nudi besplatan program, koji u potpunosti briše sve tragove crva. Preko ovog linka ćete ga skinuti:

  • FixGoner.exe.

    Napomena za korisnike Windows ME operativnog sistema: pre startovanja antivirusnog programa, treba isključiti opciju „System Restore“. To se može učiniti na sledeći način:
    1. Zatvorite sve otvorene programe, a zatim desni klik na ikonu „My Computer“.
    2. Kliknite na „Properties“
    3. Kliknite na „Performance“ karticu
    4. Kliknite na „File System“
    5. Kliknite na „Troubleshooting“ karticu
    6. Izaberite „Disable System Restore“
    7. Kliknite „OK“
    8. Ponovo kliknite „OK“
    9. Kliknite „Yes“, kako bi se kompjuter restartovao. Posle podizanja sistema, program za čišćenje crva će efikasno obaviti posao.

    Pratite Krstaricu i preko mobilne aplikacije za Android i iPhone.