Troj_Suppl & Polyglot

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 

W97M_SUPPL i Y2K Countdown Trojan (Trojan Polyglot)

Wirus ten czai się w Internecie w ponad 25 grupach (alt.sex newsgroups). Należy do grupy wirusów typu makro i jest rozprowadzany wraz z pustym dokumentem Word 97. Po uruchomieniu w katalogu systemowym Windows umieszczone zostają pliki: ANTHRAX.INI, DLL.lzh i DLL.tmp. Zostaje także przepisany oryginalny zbiór WININIT.INI. Po ponownym uruchomieniu systemu plik wsock32.dll zmienia nazwę na wsock33.dll, a DLL.TMP na wsock32.dll:

[ Rename ]
nul=DLL.lzh
C:\WINDOWS\SYSTEM\wsock33.dll=C:\WINDOWS\SYSTEM\wsock32.dll
C:\WINDOWS\SYSTEM\wsock32.dll=C:\WINDOWS\DLL.tmp
(co w konsekwencji prowadzi do wadliwego funkcjonowania systemu), 

a TROJ_SUPL rozmnaża się dołączając automatycznie plik "SUPPL.DOC" do wszystkich wiadomości email wysyłanych poprzez klienta SMTP.
Jeśli od zakażenia upłynie 163 godziny, TROJ_SUPL usiłuje otworzyć i uszkodzić wszystkie pliki z rozszerzeniami: .DOC, .XLS, .TXT, .RTF, .DBF, .ZIP, .ARJ i .RAR
W celu usunięcia wirusa należy w pierwszej kolejności skasować istniejący zbiór WSOCK32.dll i zmienić nazwę WSOCK33.dll na WSOCK32.dll. Należy także usunąć następujące pliki: DLL.lzh, DLL.tmp., SUPPL.doc i ANTHRAX.INI.
Jest on także wykrywany (W97M._SUPPL i TROJ_SUPPL) i usuwany przez oprogramowanie Trend Micro z wzorcem 591 lub nowszym.

Y2K Countdown Trojan (Trojan Polyglot)

W perfidny sposób podszywa się pod wiadomość z firmy Microsoft. Znajduje się w pliku Y2KCOUNT.EXE. Oryginalna treść poczty wygląda następująco:

From: support@microsoft.com
Sender: support@microsoft.com
Subject: Microsoft Announcement
Date: Wed, 15 Sep 1999 00:49:57 +0200

To All Microsoft Users,
We are excited to announce Microsoft Year 2000 Counter.
Start the countdown NOW. Let us all get in the 21 Century. Let us lead the way to the future and we will get YOU there FASTER and SAFER.
Thank you, Microsoft Corporation


Po uruchomieniu Y2KCOUNT.EXE wyświetlane jest okienko dialogowe WINZIP oraz pojawia się następujący tekst:

Password protection error or invalid CRC32!

Następnie trojan umieszcza w katalogu systemowym Windows następujące pliki: PROCLIB.DLL, PROCLIB.EXE, PROCLIB16.DLL i SVSRV.DLL oraz dokonuje zmian w SYSTEM.INI. zastępuje WSOCK32.DLL zawartością PROCLIB16.DLL, a jego oryginał ukrywa pod nazwą NLHVLD.DLL.
PROCLIB16.DLL "naśladuje" działanie WSOCK32.DLL i wyszukuje słów typu: "password", "login" i "username" umieszczonych w wysyłanej i otrzymywanej poczcie.

Wykrywany przez produkty Trend Micro z uaktualnieniami co najmniej 589

Zachęcamy do odwiedzenia naszego SKLEPU , zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ!

Opracowano na podstawie materiałów Trend Micro
© 1999 Trend Micro Incorporated. All Rights Reserved

 

 

               

Copyright  Air Trend 1999-2004