Blebla

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 

 

BLEBLA.A - wirus nie tylko dla zakochanych, rozchodzi się z pocztą (typu HTML), uwaga na załączniki MYJULIET i MYROMEO !

BLEBLA.B -  groźny wariant !

Po uruchomieniu Trojan umieszcza w katalogu Windows TEMP plik MYJULIET.CHM. Inicjuje on procedurę propagacji, która rozpoczyna się od odczytania zawartości rejestru:

HKEY_CURRENT_USERS\Software\Microsoft\
Internet Account Manager\00000001\SMTP Email Address

Zawarty tam adres email służy jako Nadawca zakażonych przesyłek kierowanych pod wszystkie adresy znalezione w książce adresowej. Wykorzystywane są następujące serwery SMTP:

- 212.244.199.2
- 195.117.152.91
- 195.116.62.86
- 194.153.216.60
- 195.117.99.98
- 213.25.111.2

Podczas działania wirusa na listwie systemowej pojawia się ikona  Romeo&Juliet.

Jak usunąć ?

Skanować zasoby przy pomocy programu antywirusowego oraz skasować wszystkie pliki zidentyfikowane jako TROJ_BLEBLA.A i CHM_BLEBLA.A. (plik MYJULIET.CHM) Zalecamy stosowanie najnowszych wzorców wirusów.

BLEBLA.B - nowy groźny wariant (znany także jako BLEBLA.B, Romeo, Juliet, Verona, Verona.B, Romeo&Juliet)

Podobnie jak TROJ_BLEBLA.A wykorzystuje pocztę email (18 predefiniowanych serwerów pocztowych, w tym o adresach jak poprzednik). Po uruchomieniu umieszcza w katalogu Windows SYSRNJ.EXE i tworzy nowy typ pliku o nazwie  “rnjfile”. Trojan uruchamia się domyślnie przy otwieraniu następujących typów plików:

– EXE
– JPG, JPEG, JPE, BMP, GIF
– AVI, MPG, MPEG
– WMF, WMA, WMV
– MP3, MP2, VQF
– DOC, XLS
– ZIP, RAR, LHA, ARJ
– REG

Następnie zapisuje oryginał swoim kodem i zamienia go w plik wykonywalny (długości 34 kB). Na przykład uruchomienie pliku (chociażby przez podwójne kliknięcie) FILENAME.ZIP powoduje zmianę nazwy na FILENAME.ZIP.EXE. oraz oczywiście utratę jego pierwotnej zawartości. Wirus rozsyła się wraz z pocztą email, która ma jeden z poniższych tytułów:

Romeo&Juliet,    where is my juliet ?,    where is my romeo ?,    hi.    last wish ???,    lol :),     ,,...,  !!!,      newborn,     merry christmas!,     suprise ! ,     Caution: NEW VIRUS ! ,       scandal ! ,          ^_^

Rozwiązanie

  1. Skanować system przy pomocy programów Trend Micro i usunąć wszystkie pliki zidentyfikowane jako TROJ_BLEBLA.B. Stosować najnowsze wzorce wirusów !
  2. Zrestartować system w trybie MS-DOS.
  3. Wpisać SCANREG /RESTORE. Umożliwi to odtworzenie ostatniej wersji kopii rejestru (tylko Windows 98).
  4. Wybrać ostatnią wersję przed infekcją i zrestartować system. 
  5. Skasować wszystkie pliki zidentyfikowane jako TROJ_BLEBLA.B.
  6. Zmienić nazwę REGEDIT.EXE na REGEDIT.COM i uruchomić.
  7. W

    HKEY_CLASSES_ROOT\.exe\(Default),

    zmienić nazwę z “rnjfile” do “exefile”
  8. Zainstalować ponownie programy używające pliki modyfikowane przez trojana.

Zachęcamy do odwiedzenia naszego SKLEPU , zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ

Opracowano na podstawie materiałów Trend Micro
© 2000 Trend Micro Incorporated. All Rights Reserved

 

 

 

               

Copyright  Air Trend 1999-2004