Wirus Winevar
Winevar jest robakiem pocztowym, który poza rozsyłaniem własnych kopii za pomocą poczty elektronicznej przenosi również groźnego wirusa FunLove, a także stara się wyłączyć i usunąć zainstalowane na danym komputerze programy antywirusowe oraz firewalle. Robak wyposażony został w procedurę destrukcji polegającą na usuwaniu plików z dysku systemowego.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego z następujących nazwach:
WIN[losowe znaki].TXT (12.6 KB) MUSIC_1.HTM
WIN[losowe znaki].GIF (120 bytes) MUSIC_2.CEO
WIN[losowe znaki].PIF
Po uruchomieniu szkodnik stara się wyłączyć wszystkie aktywne rezydentne monitory programów antywirusowych oraz firewalle. W kolejnym zaś etapie swego działania wyświetla okienko dialogowe oraz aktywuje zawartą w nim procedurę destrukcji - usuwanie wszystkich plików i katalogów z zarażonego dysku.
Równolegle robak przeszukuje znajdujące się na dysku pliki o rozszerzeniach htm i dbx w celu uzyskania adresów poczty elektronicznej, na które następnie rozsyła własne kopie. Na końcu stara się przeprowadzić atak typu Denial of Service w stosunku do strony www.symantec.com.
Przenoszony wraz z Winevarem wirus FunLove infekuje pliki wykonywalne typu PE o rozszerzeniach exe, scr oraz ocx. Infekcja następuje poprzez proste dołączenie kodu wirusa do końca infekowanego pliku, w wyniku czego powiększa się on o 4099 bajtów. Szkodnik infekuje program poprzez utworzenie dodatkowego wątku w jego procesie głównym - replikuje się w tle, jednocześnie uruchamiając zarażony program (główny wątek). W ten sposób użytkownik nie zauważa żadnych zmian w działaniu programu.
FunLove posiada również zdolność infekcji plików na dyskach sieciowych, jeżeli użytkownik ma na nich prawo do zapisu. Atakuje również system bezpieczeństwa Windows NT, efektem czego jest przekazanie praw pełnego dostępu do wszystkich plików każdemu użytkownikowi komputera.
(źródło: Web Express: http://www.weinfo.pl/)
