Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. DragonBall - polski robak oparty na LoveLetterze

DragonBall - polski robak oparty na LoveLetterze

DragonBall jest robakiem internetowym, będącym pod względem funkcjonalności i architektury prawie wierną polską kopią niesławnego LoveLettera.

Robak wysyła swoje kopie pocztą elektroniczną oraz poprzez kanały IRC. Zwykle DragonBall pojawia się w komputerze ofiary w postaci listu elektronicznego o następujących właściwościach:

<b>Temat:</b> <i>Hello ;]</i>

<b>Treść:</b> <i>Hi, check out this game that j sent you (funny game from the net :])</i>

<b>Załącznik:</b> <i>dragonball.vbs</i>

Po uruchomieniu załącznika robak kopiuje się do plików: winsock.vbs, sysdir.vbs w katalogu c:\windows oraz do plików milioner.vbs, dragonball.vbs i dragonball.cab w katalogu c:\windows\system. Następnie modyfikuje pliku Rejestru, czego efektem jest uruchamianie robaka przy każdym starcie systemu Windows. Efektem modyfikacji jest również zmiana zarejestrowanego użytkownika systemu Windows na Dragon Ball Z by Yup, a także strony domowej przeglądarki Internet Explorer na:http://bdball.metropoli2000.net/fotos/imagenes/

Zobacz również:

  • Google zmienia algorytmy - więcej reklam w Gmailu
  • Atak ransomware sparaliżował pracę systemu pocztowego jednego ze znanych dostawców usług chmurowych

sagas/foto7_40.jpg

Kolejnym etapem działania robaka jest modyfikacja skryptów startowych popularnego programu mIRC, służącego do obsługi IRC. W efekcie plik robaka jest wysyłany do wszystkich uczestników aktualnego kanału.

Następnie robak uaktywnia procedurę masowego wysyłania swoich kopii pocztą elektroniczną. Używa do tego książki adresowej i programu Outlook.

Jeżeli aktualny dzień miesiąca to 1 lub 27, robak wyświetla okienko dialogowe o treści: Thank you, and bye bye DragonWorld!!! Ponadto DragonBall stara się wyłączyć klawiaturę i mysz w systemie Windows NT, a także odtwarza krótki filmik z Sieci za pomocą Windows Media Playera. Na koniec robak dopisuje 3 linijki do pliku autoexec.bat, wyświetlane przy uruchamianiu komputera.

<b>Jak usunąć DragonBall:</b>

  • Za pomocą programu regedit.exe usunąć wartość:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\winsock2.0

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysup

    (ewentualnie inne wartości, jeśli wskazują na pliki z rozszerzeniem .VBS)

  • Zmienić wartość:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner na pierwotną nazwę właściciela licencji.

    HKCU\Software\Microsoft\Internet Explorer\Main\Start Page na stronę startową Internet Explorera (można to zmienić w ustawieniach IE)

  • Z katalogu głównego Windows (najczęściej C:\WINDOWS) usunąć: winsock.vbs i sysdir.vbs, z katalogu WINDOWS\SYSTEM usunąć: milioner.vbs, dragonball.vbs i dragonball.cab (ten ostatni może nie istnieć).

  • Jeśli w katalogu C:\MIRC zainstalowano program mIRC, z pliku c:\mirc\mirc.ini należy usunąć 3 linie:

    <b>[rfiles]

    n101=script.ini

    n102=update.ini</b>

    a następnie usunąć pliki: updata.ini i script.ini

  • Z pliku autoexec.bat usunąć linie (jeśli są):

    <b>@ECHO ON

    ECHO DraGon Ball [Z] by YuP

    ECHO Thank you and bye bye dragon world!!</b>

  • Wyszukać (np. Start/Znajdą/Pliki lub foldery) pliki pasujące do wzorca *.vb? zawierające ciąg 'db i usunąć je (Nie należy ich uruchamiać! Są to kopie robaka!).

    •
    W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200

    Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

    Tematy

    Serwisy IDG

    Znajdź nas:   

    W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    Zamów reklamę

    (+48) 662 287 830
    Napisz do nas