Win32/Stration (Warezov)

O co vlastně jde? ICQ a Email vir - Win32/Stration (Warezov) se začal poprvé vyskytovat 6. 10. 2006, kdy k večeru proběhla první vlna tohoto viru, kde rozesílal sám sebe po ICQ.

Z důvodu bezpečnosti jsem vypustil přesné názvy stránek.

7. 10. 2006
Virus rozesílá po ICQ tento odkaz: http://eu.tra{něco}reg.com/IM/rwit/lt.exe

17. 10. 2006
Virus se tváří jako JPG, například tento odkaz: http://al.{něco}.com/images/fghj/heas/34532.jpg, a přitom se to přesměruje na http://{něco}.com/goodday_movi.exe a připojuje „Look, a new office killer game. Go download and join the rest of us!“. Goodday_movi.exe je zmiňovaný virus. Nyní už ukazuje falešné chybové hlášení při spuštění.

18. 10. 2006
Virus se tváří jako GIF, například tento odkaz: http://na.{něco}.com/images/fghj/lpoq/34532.gif. Nyní už ukazuje jiné falešné hlášení.

19. 10. 2006
Virus se ukládá do
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs a HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Opět přibily další varianty, navíc má opět nové falešné hlášení, tentokrát se vydává za aktualizaci Windows.

20. 10. 2006
Virový radar hlásí, že každý pátý e-mail, co projde na freemailech, je infikovaný, opět přibily další varianty.

26. 10. 2006
Virus se šíří po mailech stále víc a využívá sociálního inženýrství, v příloze je soubor Update-KB{něco}-x86.zip nebo Update-KB{něco}-x86.exe.

14. 11. 2006
Virus do infikovaného PC stahuje další havěť od spammerů, již je jisté, že tvůrce(i) spolupracuje(í) se spammery (je to velice častá spolupráce).

19. 12. 2006
Od ranních hodin se začaly šířit další varianty viru Stration(Warezov)

15. 1. 2007
Přibližně od třetí ranní se začala opravdu masivně šířit nová vlna viru Stration / Warezov.

Rovnou tak mažte e-maily s předmětem postcard, hello, Status, Good day, Server Report, Error, Mail Delivery System apod. Nejjednodušší a nejúčinnější prevencí je zdravý rozum :-)

19. 4. 2007
V tuto chvíli je možné pozorovat "závaly" poštovních schránek, ve kterých se může objevit nová varianta viru Win32/Stration (Warezov).

E-mail s infikovanou přílohou poznáte podle textu:
Do not reply to this message
Dear Customer,
Our robot has fixed an abnormal activity
from your IP address on sending e-mails.
Probably it is connected with the last
epidemic of a worm which does not have
patches at the moment.
We recommend you to install a firewall
module and it will stop e-mail sending.
Otherwise your account will be blocked
until you do not eliminate malfunction.
Customer support center robot

20. 3. 2008
Ticho po pěšině.

K napsání tohoto článku mě inspirovalo pár lidí z programujte, kteří se mi svěřili se svým problémem s tímto virem, proto jsem tu sesmolil tento článek.

Nyní si zodpovíme pár otázek. Co když jsem spustil virus, co mi udělá?

- zpomalí rychlost připojení k Iternetu
- zpomalí PC
- shazuje některé antiviry a firewally
- zakazuje některým antivirům a firewallům aktualizace
- zakazuje windowsovské aktualizace
- rozesílá se lidem v ICQ contact-listu

Jak se ho zbavím?

ukončit rezidentní štíty
stáhnout avenger
vepište URL (bez uvozovek): "http://shaimagal.org/script.txt"
klikněte na semafor a vše potvrďte, restartuje počítač

Nejde Vám NOD32? Zkuste tento script.

Nejdou Vám aktualizace Windows? Zkuste tento script.

Stále máte nějaké problémy? =)

Zdroj:
viry.cz