FORGOTTEN.A - ponownie groźny (zwłaszcza dla plików VBS). Uwaga na otwieraną pocztę

                               English

Wirus typu VBS. Przychodzi jako załącznik (pli .VBS) wraz z pocztą instruującą o konieczności uaktywnienia ActiveX. Może także niespodziewanie "wyskoczyć" z kanału mIRC. Po otworzeniu poczty tworzony jest rejestr:

HKCurrentUser\software\(ANSWER) "Worm made wih vbswg 1.50b"

następnie w folderze (Windows\System) umieszczany jest pli VB1.COM.VBS oraz dokonywana modyfikacja umożliwiająca uruchomienie wirusa po starcie systemu Windows :

HKLocalMachine\software\Microsoft\Windows\
CurrentVersion\Run\vb1 wscript.exe SystemsFolder\vb1.com.vbs

Wirus tworzy także:

HKCurentUser\Software\(ANSWER)\mailed 0/1

0 jeśli nie można wykorzystać OUTLOOK, 1 jeśli w przeciwnym wypadku. Pod wszystkie znalezione adresy wysyłana jest wiadomość:

Temat: RE:FINANCING
Wiadomość : You need ActiveX enabled if you want to see this e-mail. Please open this message again and click accept ActiveX Microsoft Outlook

Treść ma postać pliku HTM, który uruchamia kod wirusa po otwarciu wiadomości ! For mIRC the virus creates an INI file (SCRIPT.INI for mIRC and EVENTS.INI for PIRCH) that contains instructions for joining a channel, and sends the VBS virus to other users in the channel. The virus then infects other VBS and VBE files in all drives and network drives by overwriting its code to the target file.

Dla mIRC torzone są następujące wpisy:

HKCurrentUser\Software\(ANSWER)\mirqued 0/1

HKCurrentUser\Software\(ANSWER)\pirched 0/1

Utworzony plik INI(SCRIPT.INI dla mIRC oraz EVENTS.INI dla PIRCH) zawiera instrukcje przyłączenia do kanału i jednocześnie przesłania kodu VBS do innego użytkownika. 
Następnie wirus zaraża pliki typu VBS i VBE znajdujące się na wszystkich napędach systemu, także sieciowych, wpisując do nich swój kod !

Jak usunąć ?

1. W START|Znajdź, wpisać Script.INI, oraz Events.INI.
2. Jeśli jest, wykasować.
3. Uruchomić ponownie Windows.
4. Usunąć odośniki w rejestrach systemowych:
   HKCurrentUser\software\(ANSWER) “Worm made wih vbswg 1.50b
   
   HKLocalMachine\software\Microsoft\Windows\
   CurrentVersion\Run\vb1 wscript.exe SystemsFolder\vb1.com.vbs
   gdzie SystemFolder jest katalogiem Windows System
   
   HKCurentUser\Software\(ANSWER)\mailed 0/1
   
   HKCurrentUser\Software\(ANSWER)\mirqued 0/1
   
   HKCurrentUser\Software\(ANSWER)\pirched 0/1
   
   
5. Skanować programami antywirusowymi Trend Micro i skasować wszystkie pliki zidentyfikowane jako VBS_FORGOTTEN.A. Stosować najnowsze wzorce wirusów. 

Zwracamy także uwagę na wirus VBS/VBSWG.J, bardzo zbliżony do Forgotten

Opracowano na podstawie materiałów Trend Micro
© 2000 Trend Micro Incorporated. All Rights Reserved

To effectivelly remove the worm from your system check it with Trend Micro HouseCall On Line Service. You may also use the commercial antivirus software: PC-cillin 2000 with updated pattern files. 
If you wold like to read english version of the presented solution go to the Trend Micro pages. Thank you !

Air Trend - is the expert in the centrally managed antivirial solutions based on the Trend Micro technology. We operate in Poland, but if you have any questions feel free to contact our office:  airtrendhome.pl

               

Copyright  Air Trend 1999-2004