 |
 |
 |
|
|
|
|
|
|
|
W97M_PRILISSA czyżby udany następca? W97M_Prilissa jest zmodyfikowanym wariantem dwóch znanych wcześniej makrowirusów: W97M_Pri i W97M_Melissa. Nie zwiera żadnych nowych rozwiązań i jest z powodzeniem wykrywany przez wszystkie produkty Trend Micro, które zawierają technologię MacroTrap, łącznie z internetowym serwisem HouseCall. Prilissa wykonuje szereg działań uruchamianych w zależności od daty (25 grudnia), czy też w przypadku, gdy zainfekowany dokument jest otwierany po raz pierwszy. Wirus atakuje pliki Word w wersjach 97 i 2000. Zakażenie i skutki Po otworzeniu zarażonego dokumentu Prilissa wyłącza opcje zabezpieczeń (Virus Protection Security Setting) w edytorze i sprawdza czy rejestry systemu zawierają: HKEY_CURRENT_USER\Software\Microsoft\Office\ CyberNET =(C)1999 - Indonesia by AnomOke! Jeśli nie, wirus usiłuje wysłać zainfekowany dokument pod pierwszych 50 adresów w książce adresowej MS Outlook. W temacie wysyłanej poczty znajduje się: Message from [user name] natomiast treść wygląda tak: This document is very Important and you've GOT to read this !!! Prilissa modyfikuje następnie zawartość rejestrów systemu, oznajmiając w ten sposób swoją obecność. Jeśli system był już wcześniej zainfekowany, wówczas poczta nie jest wysyłana. Kolejny skutek działania wirusa uwidacznia się 25 grudnia. Tego dnia modyfikowany jest plik C:\AUTOEXEC.BAT , a po przeresetowaniu systemu formatowany jest dysk twardy ! Wyświetlany jest także następujący komunikat: (C)1999 - CyberNET Vine... Vide... Vice... Moslem Power Never End... Po wciśnięciu [OK], Prilissa wstawia do aktywnego dokumentu przypadkową liczbę wielokątów. Usiłuje także ukryć swoją obecność wyłączając opcję menu : Tools|Macro. Tę technikę wykorzystują także inne makrowirusy. Co robić ? W97M_Prilissa wykrywają i usuwają produkty Trend Micro z aktualnym wzorcem wirusów. Zachęcamy do odwiedzenia naszego SKLEPU , zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWE Opracowano na podstawie materiałów Trend
Micro |
|
|
