|
Wirus
WORM_SOBIG.F, znany także jako: Win32.HLLM.Reteras, W32.Sobig.F@mm,
W32/Sobig.f@MM, Sobig.F, Win32.Sobig.F, W32/Sobig-F, I-Worm.Sobig.f
Robak rozprzestrzenia się bardzo skutecznie
wykorzystując swój własny motor pocztowy SMTP. Adresy email potencjalnych
ofiar czerpie z plików z następującymi rozszerzeniami:
DBX
HLP
MHT
WAB
HTML
HTM
TXT
EML
Wysyłana poczta może zawierać temat:
Temat:
<jeden z poniższych wariantów>
Re: Thank you!
Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Your details
Treść
wiadomości: <jeden z poniższych wariantów>
See the attached file for details.
Please see the attached file for details.
Załącznik:
<jeden z poniższych wariantów>
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
W polu nadawcy wpisuje dane adresowe wzięte z
komputera ofiary, co oczywiście może wprowadzić odbiorcę w błąd.
Atakuje Windows 95, 98, ME, NT, 2000, oraz XP.
Jak usunąć ?
Najprościej użyć oprogramowania Trend
Micro , skanować zasoby systemowe a następnie zatrzymać
zlokalizowane w ten sposób uruchomione przez wirus procesy (w przypadku Windows
95/98/ME wcisnąć CTRL+ALT+DELETE, wybrać nazwę i zakończyć zadanie).
Usunąć wpis z rejestru startowego:
- Używając Regedit otworzyć
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run
- W prawym panelu odszukać i skasować wpis:
TrayX = "%Windows%\winppr32.exe /sinc"
(Uwaga: %Windows% jest folderem Windows, zwykle C:\Windows lub C:\WINNT.)
- Otworzyć
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Run
- W prawym okienku odnaleźć i usunąć wpis:
TrayX = "%Windows%\winppr32.exe /sinc"
- Odszukać i skasować plik WINSTT32.DAT
Ewentualnie można skorzystać z bezpłatnego narzędzia
SYSCLEAN
Opracowano
na podstawie materiałów Trend Micro
© 2003 Trend Micro Incorporated. All Rights
Reserved
| 
