X-Google-Language: POLISH,Latin2
X-Google-Thread: 1045ba,521b480d43a6b45f
X-Google-Attributes: gid1045ba,public
X-Google-ArrivalTime: 2003-09-19 05:52:51 PST
Path: 
 archiver1.google.com!news1.google.com!sn-xit-02!sn-xit-03!sn-xit-01!sn-xit-09!supernews.com!diablo.theplanet.net!mephistopheles.news.clara.net!news.clara.net!proxad.net!news-stoc.telia.net!news-stoa.telia.net!telia.net!news.nask.pl!newsfeed.gazeta.pl!news.icm.edu.pl!not-for-mail
From: "Eneuel Leszek" <prosze@czytac.fontem.lucida.console>
Newsgroups: pl.rec.ascii-art
Subject: 
 =?iso-8859-2?Q?Re:_StfoReK_--_moje_Elty_m=F3wi=B1=2C_=BFe_=B6lesz_mi_wiru?=
	=?iso-8859-2?Q?sy!!!?=
Date: Fri, 19 Sep 2003 14:52:06 +0200
Organization: 
 =?iso-8859-2?Q?Arkedocja-Azalandia_:=29_po_=B6mierci_Kr=F3lowej_F._:=29?=
Lines: 266
Message-ID: <bkeu70$fab$1@SunSITE.icm.edu.pl>
References: <bkeftg$355$1@SunSITE.icm.edu.pl> <8eff87pvhzo7.dlg@from.eternity>
Reply-To: "Eneuel Leszek" <leszekc@poczta.wiara.pl>
NNTP-Posting-Host: tel-25e.tkb.net.pl
Mime-Version: 1.0
Content-Type: text/plain;
	charset="iso-8859-2"
Content-Transfer-Encoding: 8bit
X-Trace: SunSITE.icm.edu.pl 1063975969 15691 195.136.69.25 (19 Sep 2003
 12:52:49 GMT)
X-Complaints-To: abuse@icm.edu.pl
NNTP-Posting-Date: Fri, 19 Sep 2003 12:52:49 +0000 (UTC)
X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express Arkedocja. :-)
Xref: archiver1.google.com pl.rec.ascii-art:24163


Marcin Glinski news:8eff87pvhzo7.dlg@from.eternity:

>       .---------------------------------------------.
>       | Od 3 nad ranem do teraz do 10, dosta�em     |
>       | 150 maili, z kt�rym wszystkie to spam...    |
>       | Ca�� skrzynk� mi zapchali, dlatego adres    |
>       | stforek@megapolis.pl odszed� w niepami��.   |
>       | Dochodz� po 2 w ci�gu 7 minut... Ka�dy min. |
>       | 100KB ma. NIe wiec co jest. Ode mnie maile  |
>       | nie wychodz� -- nie uruchamiam �adnych      |
>       | za��cznik�w, nie u�ywam OE... Mam firewalla |
>       | kt�ry blokuje takie cosie. Dlatego moje     |
>       | wirusy siedz� sobie grzecznie w katalogu    |
>       | c:\kolekcja wirus�w\ i tam czekaj� na       |
>       | nowych koleg�w. Je�li kto� ma jakiego�      |
>       | mi�ego wirusa, to ja poprosz� :) Mam ju�    |
>       | 3 sztuki...                                 |
>       `--------------------------------------. .----'
>                                               \|
>                                                    __
>                                                   ||/
>                                                  /oo `.
>                                                  @._/ |\
>                                                   /_|_|_)
>
>



                 .......-----------------------------------.
               .'       ':  Mo�e� korzysta� z kazy :) b�d�  :
    __       .'   __     : IRCa? Oto, co m�wi Maciej Pa�ys: .
  /'  `. >\_/< .'  `\    '''''''''''''''''''''''''''''''''''
  ```/._\\*v*//_,\'''
        \\   //
       ===="====
          /^\ as


    ### Alert wirusowy ### - Worm. Swen ###

   Swen jest robakiem internetowym, kt�rego dzia�anie polega na
   rozsy�aniu w�asnych kopii za pomoc� poczty elektronicznej, poprzez
   program KaZaA, w sieci lokalnej i za pomoc� IRCa.

   Zwykle robak pojawia si� w komputerze ofiary w postaci za��cznika do
   listu elektronicznego o r�nej tre�ci. Jedna z tre�ci sugeruje, �e
   plik w za��czniku jest �at� przys�an� przez firm� Microsoft, cho�
   tre�ci mog� by� bardzo r�ne. Podobnie losowe s� nazwy plik�w w
   za��czniku. Dodatkowo robak wykorzystuje znany b��d w programie
   Microsoft Outlook i Outlook Express, powoduj�cy w niezabezpieczonych
   programach automatyczne uruchomienie pliku za��cznika w momencie
   ogl�dania tre�ci wiadomo�ci w oknie podgl�du.

   Po uruchomieniu si� robaka tworzy on na dysku swoj� kopi� w pliku o
   losowej nazwie, a tak�e modyfikuje tak rejestr by jego kopia by�a
   uruchamiana przy ka�dym starcie systemu Windows oraz przy
   uruchamianiu ka�dego pliku z rozszerzeniem: exe, reg, scr, cob, bat,
   pif. Dodatkow robak tworzy na dysku pliki Germs0.dbv i Swen1.dat, w
   kt�rych przechowuje swoje dane. Po innych modyfikacjach rejestru
   systemu Windows robak uniemo�liwia uruchomienie Edytora rejestru
   (regedit.exe).

   Co jaki� czas robak wy�wietla fa�szywe okienko przedstawiaj�ce b��d
   systemowej funkcji do obs�ugi poczty elektronicznej oraz prosz�ce o
   podanie danych dotycz�cych konta pocztowego - w ten spos�b robak
   uzyskuje wpisane przez u�ytkownika dane dotycz�ce jego konta
   pocztowego.

   Robak stara si� r�wnie� wy��czy� dzia�anie rezydentnych monitor�w
   program�w antywirusowych oraz firewalli, zabijaj�c procesy o
   nast�puj�cych nazwach:


   Azonealarm
   zapro
   wfindv32
   webtrap
   vsstat
   vshwin32
   vsecomr
   vscan
   vettray
   vet98
   vet95
   vet32
   vcontrol
   vcleaner
   tds2
   tca
   sweep
   sphinx
   serv95
   safeweb
   rescue
   regedit
   rav
   pview
   pop3trap
   persfw
   pcfwallicon
   pccwin98
   pccmain
   pcciomon
   pavw
   pavsched
   pavcl
   padmin
   outpost
   nvc95
   nupgrade
   nupdate
   normist
   nmain
   nisum
   navw
   navsched
   navnt
   navlu32
   navapw32
   nai_vs_stat
   msconfig
   mpftray
   moolive
   luall
   lookout
   lockdown2000
   kpfw32
   jedi
   iomon98
   iface
   icsupp
   icssuppnt
   icmoon
   icmon
   icloadnt
   icload95
   ibmavsp
   ibmasn
   iamserv
   iamapp
   gibe
   f-stopw
   frw
   fp-win
   f-prot95
   fprot95
   f-prot
   fprot
   findviru
   f-agnt95
   espwatch
   esafe
   efinet32
   ecengine
   dv95
   claw95
   cfinet
   cfind
   cfiaudit
   cfiadmin
   ccshtdwn
   ccapp
   bootwarn
   blackice
   blackd
   avwupd32
   avwin95
   avsched32
   avp
   avnt
   avkserv
   avgw
   avgctrl
   avgcc32
   ave32
   avconsol
   autodown
   apvxdwin
   aplica32
   anti-trojan
   ackwin32
   _avp

   W kolejnym etapie swego dzia�ania robak stara si� rozprzestrzeni� za
   po�rednictwem programu do wymiany plik�w w Internecie KaZaA, tworz�c
   w jego wsp�dzielonym katalogu pliki mog�ce zawiera� w nazwach
   nast�puj�ce teksty:


   Virus Generator
   Magic Mushrooms Growing
   Cooking with Cannabis
   Hallucinogenic Screensaver
   My naked sister
   XXX Pictures
   Sick Joke
   XXX Video
   XP update
   Emulator PS2
   XboX Emulator
   Sex
   HardPorn
   Jenna Jameson
   10.000 Serials
   Hotmail hacker
   Yahoo hacker
   AOL hacker
   fixtool
   cleaner
   removal tool
   remover
   Klez
   Sobig
   Sircam
   Gibe
   Yaha
   Bugbear
   installer
   upload
   warez
   hacked
   hack
   key generator
   Windows Media Player
   GetRight FTP
   Download Accelerator
   Mirc
   Winamp
   WinZip
   WinRar
   KaZaA
   KaZaA media desktop
   Kazaa Lite

   Robak nadpisuje r�wnie� skrypt startowy popularnego programu do
   obs�ugi IRCa - mIRCa - czego efektem jest rozsy�anie kopii robaka do
   wszystkich uczestnik�w kana�u, na kt�ry wejdzie zainfekowany
   u�ytkownik.

   Robak stara si� r�wnie� rozprzestrzenia� w sieciach lokalnych,
   tworz�c swoje kopie w katalogach Autostartu, je�eli s� one
   udost�pnione na innych komputerach.

   Robak rozsy�a w�asne kopie za pomoc� poczty elektronicznej do
   wszystkich adresat�w, kt�rych adresy odnalaz� w zainfekowanym
   komputerze.



   Swen jest wykrywany oprogramowaniem mks_vir z baz� wirus�w z dnia
   2003-09-19 i nowszymi.


   Maciej Pa�ys
   _________________________________________
   Webmaster        webmaster@mks.com.pl
   mks Sp. z o.o.   tel. (+0 22) 331 33 80
                    http://www.mks.com.pl



E. :)