Korzysta
z poczty, niszczy CMOS !
Wirus o nazwie TIMOFONICA
rozsyła niebezpieczny załąłcznik “TIMOFONICA.TXT.VBS.” pod
wszystkie adresy z MS Outlook, oraz próbuje dobrać się do pamięci CMOS!
"Pozdrawia" swoje ofiary po hiszpańsku.
Jak działa?
Po uruchomieniu program wirusa
sprawdza zawartość rejestrów:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion
Jeśli nie występuje, wówczas dokonuje następujących
modyfikacji:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Timofonica",1,"REG_DWORD"
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\
Outlook\Preferences\SaveSent",0,"REG_DWORD
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Cmos","Cmos.com”
Następnie kopiuje swój kod jako TIMOFONICA.TXT.VBS
do C:\. Tworzy także plik tekstowy TIMOFONICA.TXT, który zawiera
rozmaite wiadomości tekstowe oraz adresy HTTP.
Z kolei tworzony jest klucz “Fichero” w:
HKEY_LOCAL_MACHINE\Software\CLASSES\VBSFile\
Shell\Open\Command
Po uruchomieniu pliku VBS, wywoływany jest
program Notepad.Exe i wyświetlany tekst z pliku TIMOFONICA.TXT
(umiejscowionego na dysku C:\).
Tworzony jest także plik CMOS.COM. Uruchomiony po kolejnym restarcie
systemu usiłuje zaatakować pamięć CMOS !
W celu rozpowszechniania VBS_TIMOFONICA
wykorzystuje program Outlook
wysyłając pocztę pod wszystkie znalezione adresy, w tym także do bramki
komunikatów SMS @correo.movistar.net. W zależności od parametru “random1”
wybierane są numery telefonów rozpoczynające się cyframi 609, 619, 629,
630, 639, 646, 649, 696.
Wysyłana poczta może wyglądać następująco:
Temat: TIMOFONICA
Treść: informa que: Telefónica te está engańando
Załącznik: TIMOFONICA.TXT.VBS
Jak usuwać ?
Kliknąć START|RUN
Wpisać REGEDIT i wcisnąć ENTER
W lewym panelu kliknąć
"+" na lewo od:
HKEY_CURRENT_USER, Software, Microsoft, Windows, CurrentVersion
W prawym panelu odszukać klucz rejestru z
nazwą “Timofonica”. W prawym okienku, podświetlić klucz który
uruchamia plik i wcisnąć DELETE.
W lewym panelu kliknąć "+" na
lewo od:
HKEY_CURRENT_USER, Software, Microsoft, Windows, CurrentVersion, Run
W prawym panelu wyszukać klucz rejestru
zawierający: “Cmos.com”. W prawym okienku podświetlić klucz
wprowadzający program i wcisnąć DELETE.
W lewym panelu kliknąć "+" na
lewo od
HKEY_CURRENT_USER, Software, Microsoft Office, 9.0, Outlook, Preferences
W prawym wyszukać klucza SaveSent i
wybrać. Po wyświetleniu okna Edit String wpisać Type 1,w celu przywrócenia
oryginalnych ustawień Outlook.
W lewym panelu kliknąć
"+" na lewo od:
HKEY_LOCAL_MACHINE, Software, Classes, Vbsfile, Shell, Open, Command
W prawym wyszukać klucz nazwany Fichero.
W prawym okienku podświetlić klucz wprowadzający program i wykasować.
Wyjść z rejestru.
Wcisnąć Start|Find|Files lub Folders.
Odszukać i wykasować TIMOFONICA.TXT i CMOS.COM.
Wykasować wszystkie pliki wskazane przez
program antywirusowy jako VBS_TIMOFONICA.
Zalecamy korzystać ze sprawdzonego
oprogramowania Trend Micro oraz najnowszych wzorców
wirusów.
Opracowano na podstawie materiałów Trend
Micro
© 1999 Trend Micro Incorporated. All Rights Reserved
