 |
 |
 |
|
|
|
|
|
|
|
UWAGA ZAGROŻENIE !!!, NOWA WERSJA TROJ_EXPLORER - TROJ_EXPZIPWMPAK Coraz bardziej powszechny staje się wirus o nazwie TROJ_EXPLORERZIP. TROJ_EXPLOREZIP należy do gupy "trojan worm". Po raz pierwszy odkryty w Izraelu rozprzestrzenia się szybko. Atakuje systemy Windows 95/98/NT. Po zaktywowaniu używa systemów email zgodnych z MAPI, jak np. Microsoft Outlook, Outlook Express, oraz Exchange dołączając się do wysyłanych wiadomości oraz odpowiadając na przychodzące. Tekst wiadomości może zawierać:Hi <Recipient Name>! I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. oraz w zakończeniu: "Bye", "Sincerely, All", lub "Sincerely, Test", etc Kod wirusa ukryty jest w załaczniku: "zipped_files.exe" oznaczonym przedstawioną poniżej ikoną:
Wirus redukuje do zera rozmiar plików z rozszerzeniami:.c, .h, .cpp, .asm, .doc, .ppt, .xls znajdujące się na zainfekowanej maszynie lub zamapowanych dyskach. TROJ_EXPLOREZIP przeszukuje także sieć, zdalnie instalując się na innych maszynach oraz kasując zapisane tam pliki, nawet gdy aktywne są programy antywirusowe !!!. Wirus ciągle monitoruje sieć i atakuje każdy przyłączony komputer. Pochłania w ten sposób sporo pasma co obniża wydajność sieci. Każdorazowo po przeresetowaniu zarażonego komputera wirus uaktywnia się i poszukuje nowych ofiar. Ryzyko infekcji jest bardzo wysokie. Dopóki zasoby każdego z komputerów w sieci nie będą przeskanowane i ewentualnie oczyszczone, wciąż istnieje ryzyko ponownej utraty danych ! Odkryłem ExploreZip, co robić?
Zmienić prawa dostępu udostępnianych
napędów na "Read-Only". Może okazać się konieczne wyłączenie
serwerów.
Każda z zainfekowanych stacji
sieci może spowodować zniszczenie określonych plików na serwerze. Może także
przenieść wirus na serwer w przypadku gdy posiada odpowiednie przywileje (np.
prawa administratora). Zastosować program ServerProtect lub serwis HouseCall. Wykasować wszystkie zarażone pliki. Usunąć zapis "run c:\winnt\system32\Explore.exe" pod HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows. Podczas procesu skanowania wirus może pozostawac aktywny, co zabezpiecza go przed usunięciem. Jeśli określony powyżej zapis nie zostanie usunięty, wirus zaktywizuje się po ponownym uruchomieniu komputera. Przeresetowac serwer. Ponownie przeskanować przy pomocy ServerProtect lub HouseCall i usunąć zarażone pliki. Po resecie wirus nie jest aktywny. Zarażone pliki mozna więc bez problemu usunąć. Aby zabezpieczyć stacje sieci: Nie resetowac systemu !
Komputer może być zainfekowany,
lecz wirus nie jest aktywny. Po resecie natychmiast się aktywuje i podejmuje próbe
zarażenia innych maszyn. Odłączyć komputer od sieci.
(np. przez odłączenie kabla sieciowego)
Fizyczne odłączenie od sieci
uniemożliwi rozpowszechnienie się wirusa. Usunąć opcje udostępniania
zasobów sieci lub ustawić prawa dostępu na "read-only".
Pamiętajmy, że wirus przenosi się
przez sieć. Wszystkie przywileje zapisu (write permissions) należy skasować. Skorzystać z PC-cillin lub OfficeScan (motor skanujący 2.062 lub nowszy, wzorzez 543 lub nowszy). Można skorzystać z serwisu HouseCall. Usunąc wszystkie zarażone pliki. Przywrócić połączenie z siecią i przeresetowac system. Jeśli nie mozna skasować zarażonych plików, oznacza to, że wirus jest aktywny. Wystartować z "czystej" dyskietki, przejść w tryb pracy "MS DOS". Przy pomocy skanera DOS (na przykład PCSCAN lub VBSCAN) wykryć i usunąć zarażone pliki.
Uwaga: Należy pamiętać, że zagrożenie wirusem może się powtórzyć. W związku z tym należy bezwzględnie uaktualnić posiadane systemy zabezpieczeń oraz przestrzec pracujących zdalnie pracowników.TROJ_EXPLOREZIP powraca !TROJ_EXPZIPWMPAK, jest nową, szybko rozprzestrzeniającą się wersją opisanego powyżej "robaka" TROJ_EXPLOREZIP, który spowodował ogromne straty niszcząc dane na tysiącach komputerów. Wariant jest nieomal identyczny z pierwowzorem, z wyjątkiem tego, iż rozprzestrzenia się w postaci spakowanego do innego formatu pliku. Jest przez to odporny na metody detekcji, skuteczne w przypadku ExploreZip. Atakuje systemy Windows 95, 98 i NT. TROJ_EXPZIPWMPAK wykorzystuje pocztę email wysyłając plik "zipped_files.exe". Tekst niebezpiecznej wiadomości wygląda tak:
Po uruchomieniu załącznika wirus przeszukuje napędy od C: do Z: po czym zeruje rozmiary plików Microsoft Word, Excel, PowerPoint, źródeł programów w C++, C, Assembler. Następnie korzysta z poczty MAPI i automatycznie odpowiada na każdą otrzymaną wiadomość ! Aby ustrzec się przed niebezpieczeństwem Trend Micro zaleca stosowanie najnowszych wzorców wirusów oraz korzystanie z możliwości sprawdzenia swoich zasobów poprzez sieć (serwis HouseCall)Solutions Available from Trend Micro Zachęcamy do odwiedzenia naszego SKLEPU , zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ Opracowano na podstawie materiałów
Trend Micro |
|
|
