Just Kidding.
Sincerely yours
Mr. Guddu
mr.guddu.bd@gmail.com”
নামঃ W32.Gudek (Guddu Virus হিসেবেই বহুল পরিচিত)
ঝুকিঃ system এর তেমন কোন ক্ষতি করে, শুধু HDD বা removable storage পরিস্কার করে দেয়।
আবিস্কারঃ জানুয়ারি ১৮, ২০০৮
Type: এটা এক ধরনের Worm, অর্থাৎ এটা নিজেই বংশ বৃদ্ধি করে ব্যপকভাবে ছড়িয়ে পড়তে পারে।
Size: প্রায় ৩০০ KB
আক্রমনের ক্ষেত্রঃ Windows 95 থেকে শুরু করে VISTA পর্যন্ত সব জায়গাতেই ওর রুচি আছে। যদিও VISTA তে ভালোভাবে সফল হতে পারে না।
সোজা কথায় বলতে গেলে এটা এমন এক ধরনের Worm যা fixed বা removable storage এ নিজেই বংশ বৃদ্ধি করে ছড়িয়ে পড়ে। এটা Network Share এর মাধ্যমেও ছড়ায়। এটা বেছে বেছে কিছু Type এর file কে আক্রমন করে এবং কিছু process কেও নিস্ক্রিয় করে দেয়।
এটা যখন execute হয়, তখন নিচের file গুলো তৈরী করে-
Ø C:\Documents and Settings\All Users\My Documents\SГїstem.exe
Ø %ProgramFiles%\SГїstem.exe
Ø %System%\SГїstem.exe
Ø %System%\Winnt.sys
Ø %Windir%\SГїstem.exe
Ø %Windir%\Winnt.sys
Ø %Windir%\Tasks\At1.job
Ø %Windir%\Tasks\At2.job
Ø %Windir%\Tasks\At3.job
Ø %Windir%\Tasks\At4.job
Ø %Windir%\Tasks\At5.job
Ø %Windir%\Tasks\At6.job
Ø %Windir%\Tasks\At7.job
Ø %Windir%\Tasks\At8.job
Ø %Windir%\Tasks\At9.job
Ø %Windir%\Tasks\At10.job
Ø %SystemDrive%:\Autoexec.bat
Ø %SystemDrive%:\New Folder.exe
Ø %SystemDrive%:\WinSys.sys
Ø %SystemDrive%:\bootsect.exe
Ø %DriveLetter%\SГїstem.exe
Ø %DriveLetter%\autorun.inf
আর সেই সাথে একগাদা registry entry ও করে যা বিস্তারিত আর লিখলাম না।
Ref: http://en.securitylab.ru/viruses/311899.php
এই Worm যেসব file গুলোকে পছন্দ করে সেগুলো হলো-
Ø .doc
Ø .xls
Ø .exp
Ø .ppt,
Ø .mdb
Ø .dba
Ø .pdf
Ø .jpg
Ø .psd
Ø .ai
Ø .dwg
Ø .mp3
Ø .mpg
Ø .zip
Ø .rar
Ø .qxd
Ø .rdf
Ø .rep
Ø .fmx
Ø .fmb
Ø .cpp
আক্রমনের ফলে উপরোক্ত extensoin এর file গুলোতে যা থাকে সব মুছে যায় এবং একটা ছোট লেখা ঢুকে যায়- Locked by Mr. Guddu.
তারপর এটি SMTP ব্যবহার করে mr.guddu.bd@gmail.com ঠিকানায় একটা মেইল পাঠিয়ে দেয় এই বলে যে- Operation successful হয়েছে।
To:
mr.guddu.bd@gmail.com
Subject:
Successful Infection Notification
Message:
[COMPUTER NAME] - [USER NAME] has successfully infected!
Mr. Guddu
The worm may delete all files in the following location:
%CurrentFolder%
তারপর এটি “Deleted file name” নামে একটা folder তৈরী করে এবং তার ভিতর একটা txt file দিয়ে তাতে লিখে দেয়-
“The above file contains the following message:
Just Kidding.
Sincerely yours
Mr. Guddu
mr.guddu.bd@gmail.com”
অনেক সময় এধরনের লেখাও থাকে-
Warning!
You are infected by Unknown Virus! Contact with Mr. Guddu! Mail at mr.guddu.bd@gmail.com
এই Worm নিচের application গুলো বন্ধ করে দেয়-
Ø Registry
Ø Security
Ø Folder Options
Ø Schedule
Ø Group Policy
Ø Command
Ø Task Manager
এবং কিছু process ও বন্ধ করে-
Ø Mcshield.exe
Ø Nvprotect.exe
Ø avp.exe
পুরা ব্যপারটাই বেশ মজার, মানে তার জন্য যে ভাইরাসটা তৈরী করেছে এবং তাদের জন্যেও যারা এটা ছড়াচ্ছে। কিন্তু যারা এর ভোগান্তির শিকার হচ্ছে, তাদের জন্য ব্যপারটা মোটেও সুখকর নয়। আমি আমার এক বন্ধুর কাছে শুনেছি- তারা যখন Islami Bank এ Internee করছিলো, তখন এই Guddu ওই Bank এর কতগুলা PC তে তার কারামতি দেখিয়েছিলো যার ফলে ওইসব PC থেকে যেসব file হারিয়ে গেছে, তা নাকি আর ফিরে পাওয়া যায়নি।
আজকে এটা নিয়ে আর লিখালাম না। আশা করি এর পরের বার Guddu থেকে নিস্ক্রিতি পাওয়ার পথগুলো নিয়ে একটা ছোট লেখা লিখবো,
ইনশা আল্লাহ।
কোন মন্তব্য নেই:
একটি মন্তব্য পোস্ট করুন