W32.Sasser.Worm
W32/Sasser.worm, WORM_SASSER.B, W32/Sasser.worm.b

W32.Sasser.Worm je crv koji se širi tako što skenira slučajno odabrane IP adrese i traži ranjive sustave, a ne putem e-maila kao većina crva. Koristeći AbortSystemShutdown API, ovaj crv skriva pokušaje gašenja ili restartanja računala, zatim pokreće FTP server na TCP portu 5554, kojeg koristi za svoje širenje na druga računala. 

Po izvršenju, ostavlja svoju kopiju u «Windows» direktoriju u obliku datoteke: AVSERVE2.EXE (Inačica WORM.SASSER.A koristi naziv AVSERVE.EXE). Budući ovaj virus stvara preopterećenje programa LSASS.EXE (LSA Shell), on prouzrokuje rušenje tog programa, što za posljedicu ima restartanje Windowsa.

Zakrpa za propust u operativnom sustavu, koji omogućuje zarazu računala, može se naći na stranici: 
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 

Zaštititi se možete skidanjem najnovijih sigurnosnih zakrpa s Windows Updatea i redovitim nadograđivanjem Vašeg antivirusnog programa. Širi zarazu na: Windows 2000, Windows Server 2003, Windows XP

Ukoliko je vaše računalo već zaraženo ovim virusom, možete ga ukloniti nekim od specijaliziranih programa, koje možete naći na stranicama proizvođača antivirusnih programa, kao što su:
http://securityresponse.symantec.com/avcenter/venc/
data/w32.sasser.removal.tool.html 
http://www.sophos.com/virusinfo/analyses/w32sassera.html 

Samo uklanjanje virusa, bez krpanja navedene sigurnosne rupe neće spriječiti ponovnu zarazu. Preporučljivo je korištenje nekog firewalla i antivirusnog programa za kojeg treba raditi redovito osvježavanje definicija virusa.



W32/MyDoom-A 
(Mimail.R, Novarg.A, Shimg, W32.Novarg.A@mm, W32/Mydoom@MM, WORM_MIMAIL.R W32/Mydoom.A.worm, Win32/Mydoom.A@mm)

W32/MyDoom-A je crv koji se širi elektronskom poštom. Crv slučajnim izborom uzima adrese spremljene na zaraženom računalu za polja from i to. To znači da je adresa pošiljaoca lažna i ne govori tko vam je zaista poslao zaraženu poruku. W32/MyDoom-A stiže u porukama sa sljedećim karakteristikama:

Subject: error, hello, hi, mail delivery system, mail transaction failed, server report, status, test, ili neki slučajni niz znakova.

Naziv privitka: body, data, doc, document, file, message, readme, test, ili neki slučajni niz znakova.

Ekstenzije privitaka: bat, cmd, exe, pif, scr, zip

W32/MyDoom-A privija se uz poruke u .EXE ili .ZIP formatu i ostaje u vašem System folderu pod imenom taskmon.exe. Također ostavlja datoteku imena shimgapi.dll, koja je tzv. backdoor program. Ovaj program omogućuje drugima da se spoje na vaše računalo preko portova TCP 3127 do 3198.

W32/MyDoom-A se učitaje svaki put kad se logirate na vaše računalo.

Ovaj crv je programiran da izvodi DoS napad na web stranicu www.sco.com od 01.02.2004. do 12.02.2004., ali i nakon tog datuma nastavlja djelovati kao backdoor program.

Zarazi su podložna računala koja rade na operativnim sustavima Windows.

Upute za uklanjanje možete naći na stranici: http://www.sophos.com/support/disinfection/worms.html



W32/Swen@MM 
(I-Worm.Swen, W32/Swen.A@mm, W32/Gibe.E@MM, Gibe.E)

Radi se o e-mail crvu koji za širenje koristi vlastiti SMTP. Pokušava se širiti preko dijeljenih mreža, kao što su KaZaA i IRC, te onemogućiti antivirusne i druge sigurnosne programe. 

Stiže na računalo u obliku e-maila s privitkom. Naslov, izvorišna adresa, kao i tekst e-maila mogu varirati. Najčešće izgledaju kao Microsoftove zakrpe (Microsoft Security Update) ili obavijesti o neisporučenoj pošti (Mail Delivery Failure).

Ovaj crv koristi sigurnosne rupe u Microsoft Outlook i Outlook Express programima pri pokušaju izvršavanja pri otvaranju ili čak pregledu poruke. Zakrpu možete naći na sljedećoj stranici  MS01-020.

Sobig.f@MM

Crv se širi putem e-mail poruka i dijeljenih mrežnih direktorija. Za svoje širenje putem e-maila Sobig koristi vlastiti SMTP poslužitelj krivotvoreći pri tome "From" polje poruke koristeći se nekom od e-mail adresa pronađenom na zaraženom sustavu. Zaražene poruke lako je prepoznati po tekstu "Please see the attached file for details" ili "See the attached file for details " koji se nalazi u tijelu poruke. Program uz to što traži adrese u Outlookovom adresaru kako bi se sam slao dalje,  pokušava i instalirati mali program koji računalo pretvara u prijenosnika za poruke koje autor virusa želi poslati.

Poruke koje koristi Sobig:
Re: details , Re: approved , Re: my details , Re: Thankyou! , Re: That movie , Re: wicked screensaver , 
Re: your application , Your details , Thankyou 

Nazivi privitaka koje koristi Sobig:
your_document.pif , details.pif , details.pif , your_details.pif , thank_you.pif , movie0045.pif , document_Fall.pif , application.pif , document_9446.pif 

Za uklanjanje ovog i ostalih e-mail crva i virusa koji u zadnje vrijeme haraju internetom (Klez, Yaha, Bugbear, Sircam, Sobig, Nimda, Elkern, Nachi, Blaster) možete korisititi samostalan alat Stinger. 
Taj alat služi samo za uklanjanje virusa s računala, dok za zaštitu od zaraze morate koristiti neki antivirusni program i redovito instalirati nadogradnje (upgrade) i zakrpe (patch) za operativni sustav. 


W32/Blaster-A  
(W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, Win32.Poza, Worm/Lovsan.A)

W32/Blaster-A je crv koji koristi Internet za korištenje DCOM ranjivosti RPC (Remote Procedure Call) usluga. Ovaj crv ne koristi e-mail za širenje. 
Računala sa slijedećim operativnim sustavima su podložna ovom virusu:
· Windows NT 4.0
· Windows NT 4.0 Terminal Services Edition
· Windows 2000
· Windows XP
· Windows Server 2003


W95.MTX  
(W32/MTX@MM, I-Worm.MTX, W32/MTX)

W95.MTX ima komponente virusa i crva. Širi se putem e-maila. Virus ima mogućnost blokiranja pristupa nekim web stranicama. Za širenje koristi datoteke sa ekstenzijama: .pif , .scr , .exe ...

Računala podložna ovom virusu su ona s instaliranim sustavima: Windows 95, Windows 98, Windows Me.



Više o ovim i drugim virusima, kao i o načinima njihovog uklanjanja, možete pročitati na:
Symantec, McAfee, Sophos...