https://croatianschoolsydney.com/index.php?action=history&feed=atom&title=VBS.Runauto.FVBS.Runauto.F - Povijest promjena2026-06-16T14:07:13ZPovijest promjena ove stranice na wikijuMediaWiki 1.36.2https://croatianschoolsydney.com/index.php?title=VBS.Runauto.F&diff=118358&oldid=prevWikiSysop: Bot: Automatski unos stranica2021-09-13T22:32:52Z<p>Bot: Automatski unos stranica</p>
<p><b>Nova stranica</b></p><div><!--'''VBS.Runauto.F'''-->'''VBS.Runauto.F''' je [[računalni crv]] otkriven [[19. svibnja]] [[2009.]] godine. Zaražava računala koja rade pod operativnim sustavom Microsoft Windows ([[Windows 98]], [[Windows 95]], [[Windows XP]], [[Windows Me]], [[Windows Vista]], [[Windows NT]], [[Windows Server 2003]], [[Windows 2000]]).<br />
<br />
== Djelovanje ==<br />
Crv se kopira kao datoteke %System%\winjpg.jpg i %SystemDrive%\winfile.jpg. Također pravi datoteku %SystemDrive%\autorun.inf koja se aktivira kad korisnik pristupi %SystemDrive%-u te onda ubacuje komponentu [[backdoor]]a u datoteku %System%\winxp.exe. <br />
<br />
U [[Windows Registry]] VBS.Runauto.F dodaje vrijednost <code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"CTFMON" = "%System%\wscript.exe /E:vbs %System%\winjpg.jpg"</code> kako bi se mogao pokretati tijekom sljedećih podizanja sustava, te <code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"regdiit" = "%System%\winxp.exe"</code><br />
<code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"abu salem" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 77 00 69 00 6E 00 78 00 70 00 2E 00 65 00 78 00 65 00</code> za pokretanje backdora, također za vrijeme sljedećih podizanja sustava.<br />
<br />
Crv mijenja vrijednosti <code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe\"Debugger" = "%System%\winxp.exe"</code>,<code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSConfig.exe\"Debugger" = "%System%\wscript.exe /E:vbs %System%\winjpg.jpg"</code>, <code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe\"Debugger" = "\winxp.exe"</code>,<code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\"Debugger" = "%System%\wscript.exe /E:vbs %System%\winjpg.jpg"</code> kako bi se on sam pokrenuo umjesto traženih aplikacija.<br />
<br />
VBS.Runauto.F umanjuje [[računalna sigurnost|sigurnost računala]] mijenjanjem vrijednosti <code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings\"Enabled" = "1"</code>, <code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusOverride" = "1"</code>, <code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "1"</code>,<br />
<code>HKEY_USERS\S-1-5-21-1110976373-127614085-1323839693-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "0"</code>.<br />
<br />
Crv se širi tako što se kopira na sve izmjenjive diskove (''removable drives'') kao datoteka %DriveLetter%\winfile.jpg te pravi datoteku %DriveLetter%\autorun.inf koja se aktivira kad korisnik pristupi izmjenjivim driverima.<br />
<br />
== Izvor ==<br />
* [http://www.symantec.com/security_response/writeup.jsp?docid=2009-051918-1008-99&tabid=2 Symantec.com]<br />
<br />
[[Kategorija:Računalni crvi]]</div>WikiSysop