W32.Toal.A@mm нь mass-mailing буюу олон хvнд нэг захиаг зэрэг тараадаг
worm юм. Worm нь имэйлээр Binladen_brasil.exe нэртэй хавсаргасан файлтай
хамт ирдэг.


Subject буюу захианы гол утга нь Афганистанд болж буй тухайн
vеийн vйл явдлын тухай байх бєгєєд аль нэг улсын хэл дээр байдаг. Ихэвчлэн
вирустсэн компьютерийн vйлдлийн систем аль хэл дээр байна тэр хэл дээр
нь илгээгддэг. Харин захианы хэсэг нь хоосон байдаг. Microsoft Outlook
болон Outlook Express программаар имэйлээ шалгахаар нээх эсвэл ирсэн захиаг
унших команд єгєхєд энэ вирус идэвхиждэг. Энэ вирус нь мєн W32/AntiWar
нэрээр илэрдэг.

Worm нь Invictus.dll файлыг vvсгэдэг бєгєєд энэ нь системийн болон сvлжээн
дэхь компьютерvvдэд байгаа executable буюу ажлын файлд халддаг. Мєн C:\
дискийг дотоод сvлжээнд share хийж бусдад нээлттэй болгодог. Энэ файлыг
ашиглан вирус тархдаг бєгєєд Norton Antivirus программ W32.Invictus.dll
нэрээр илрvvлдэг.

Тєрєл: Worm, virus
Илэрсэн он сар єдєр: 2001 оны 10-р сарын 23
Хэмжээ: янз бvр байдаг
Хавсаргасан файлын нэр: Binladen_brasil.exe
Subject: ямар ч байж болдог

Вирус идэвхижсэний дараа ємнє нь яг энэ вирус идэвхижин ажиллаж буй
эсэхийг шалгадаг. Хэрвээ ажиллаж байвал сvvлд идэвхижсэн нь ажиллахаа
больдог. Хамгийн тvрvvнд идэвхижсэн нь дараах файлуудыг vvсгэдэг:
- %System%\ директорт Invictus.dll файлыг vvсгэдэг. %System% нь
C:\Windows\System эсвэл C:\Winnt\System32 байж болно.
- %Windows%\<ямар нэгэн 3 тэмдэгт>.exe файлыг нууцлалтайгаар хуулдаг.
%Windows% нь C:\Windows эсвэл C:\Winnt байж болно.

Мєн System.ini файлд дараах єєрчлєлтийг хийнэ:
shell=Explorer.exe
гэснийг shell=Explorer.exe [ямар нэгэн 3 тэмдэгт].exe болгодог.

Компьютерийг унтраагаад асаасны дараа вирус идэвхиждэг. Вирус нь Windows
системийн hh.exe файлд халддаг. Мєн дотоод сvлжээгээр дамжин бусад компьютерт
мєн 3 тэмдэгт бvхий нэртэй .exe єргєтгєлтэй файлыг Windows директорт
нь, Invictus.dll файлыг System директорт нь хуулдаг. Сvлжээний компьютер
дээр уг вирус идэвхижин ажиллаж, System.ini файлд єєрчлєлт оруулдаг.

Вирус нь ICQ программийн White Pages -г ашиглан имэйл хаягуудыг цуглуулдаг.
Ихэнх имэйл серверvvд stmp юмуу mail гэж эхэлдгийг овжиноор
ашиглан тухайн цуглуулсан имэйл хаягууд руугаа захиаг илгээхдээ энэ нэрийг
ашигладаг. Жишээ нь joeuser@domain.tld гэсэн имэйл хаяг байвал smtp.domain.tld
эсвэл mail.domain.tld гэсэн имэйл серверийн нэрийг ашигладаг. Илгээж буй
захиандаа вирустсэн Hh.exe файл эсвэл Binladen_brasil.exe файлыг хавсаргадаг.

Уг вирус нь сvлжээний хадгалсан нууц vгнvvдийг Windows 95 систем дээр
файлд хадгалдаг. Бусад Windows системийн хувилбарууд дээр энэ vйлдлийг
хийж чаддаггvй. Registry файлд дараах єєрчлєлтийг оруулснаар C:\ дискийг
дотоод сvлжээнд share хийж, нээлттэй болгодог.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan
Санах ой дахь вирусын эсрэг программийг тvр хугацаанд ажиллуулахгvй болгодог.
Вирус идэвхижсэнээс хойшхи аль зэрэг хугацаа єнгєрснєєс шалтгаалан Афганистанд
одоо болж буй vйл явдлыг харуулсан зураг бvхий фон болон текстийн єнгийг
vргэлж єєрчилдєг. Ийнхvv идэвхижсэний дараа 5 минутын турш тvр азнаад
эргээд идэвхиждэг.
Norton AntiVirus программ уг вирусыг W32.Invictus.dll нэрээр илрvvлдэг.

Хэрхэн устгах вэ?

1. Norton Antivirus программийн LiveUpdate -г ажиллуулж хамгийн сvvлийн
vеийн вирусын эсрэг программийг авсан эсэхийг шалгах хэрэгтэй.
2. Start товчыг дарж Run командыг сонгоод дараах командыг бичиж OK товч
даран System.ini файлд єєрчлєлт хийнэ.
а. edit c:\windows\system.ini
b. shell= гэсэн бичилтийг хайж олно.
c. тэнцvvгийн тэмдгийн ард курсорыг байрлуулаад Shift болон End
товчлууруудыг зэрэг дарна.
d. Delete товчыг дар.
e. Ингээд explorer.exe гэж бичнэ.

shell=explorer.exe гэж харагдах ёстой.

f. File цэснээс Exit командыг сонгоод Yes товчыг дарж єєрчлєлтийг сануулаад
гарна.
3. Хэрвээ таны компьютер дотоод сvлжээнд холбогдсон бол нээлттэй байгаа
C:\ дискийн share-г авах хэрэгтэй.
4. Компьютерээ унтраагаад асаана. Компьютер асахдаа вирустсэн файлуудыг
олох бєгєєд эдгээр файлуудыг Repair хийх хэрэгтэй. Quarantine хийчихвэл
дараа нь Repair командаар засч болдоггvй.
5. Norton AntiVirus (NAV) программийг эхлvvлэн бvх файлыг шалгахаар тохируулагдсан
эсэхийг шалгах.
6. Scan virus командаар вирусийг шалгах.

{mos_fb_discuss:2}