Troj_Plag2000

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 

Troj_PLAG2000

Przybywa wraz z pocztą email. Po otworzeniu załącznika wyświetlane jest okienko dialogowe:

a program uruchamia się niezależnie od tego, który przycisk zostanie wybrany. W katalogu Windows (zazwyczaj \Windows lub \WINNT) zostaje umieszczona kopia trojana.
W systemach Windows 9x, modyfikowany jest plik WIN.INI:"run={Windows path}\INETD.EXE".
natomiast w maszynach z NT modyfikowane są rejestry
HKEY_CURRENT_USER\Software\Microsoft\Windows NT \CurrentVersion\Windows
poprzez wstawienie:"run {WinNT Path}\inetd.exe"
Dzięki tym modyfikacjom trojan aktywuje się po każdorazowym uruchomieniu systemu Windows (9x lub NT). Przy wybraniu opcji "Unzip" lub "Run Winzip" wyświetlony zostaje komunikat o błędzie w rozpakowanym pliku.

Przykładowa treść wiadomości:

Title: Plag2000
Message: This program has performed an illegal operation and will be shut down.
If the problem persists, contact the program vendor.
In Windows NT, the error message reads:
Title: Dr. Watson for Windows NT
Message: An application error has occured
and an application error log is being generated.
Plag2000.exe
Exception: access violation (0xc0000005), Address: 0x00410074

W trakcie działania trojan wyszukuje wszystkie znajdujące się w skrzynce "Inbox" nieprzeczytane wiadomości i próbuje na nie odpowiedzieć używając następującego formatu:

"Lastname, Firstname" wrote:
====
-
-
-
====
P2000 Mail auto-reply:
"I will try to reply as soon as possible.
Take a look to the attachment and send me your opinion!"
> Get your FREE P2000 Mail now! <

Do wiadomości dołączany jest jeden z następujących plików: pics.exe, images.exe, joke.exe, PsPGame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchURL.exe, SETUP.EXE, Card.EXE, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe and fun.exe.

W celu usunięcia wirusa należy:
- System Windows 9x,
1. Zmodyfikować WIN.INI kasując linię {Windows path}\INETD.EXE z pola "run"
2. Skasować INETD.EXE z katalogu \Windows. W razie problemów zrestartować w MS-DOS i usunąć plik.
- System Windows NT,
1. Wyłączyć proces o nazwie “INETD.EXE”
2. Zmodyfikować rejestr. Oczywiście przed wprowadzaniem zmian sporządzić kopię. Używając REGEDIT skasować:
"run {WinNT Path}\inetd.exe"
umiejscowioną w
HKEY_CURRENT_USER\Software\Microsoft\Windows NT \CurrentVersion\Windows
po zmodyfikowaniu rejestru wykasować plik INETD.EXE.

Wirus jest wykrywany przez programy Trend Micro. Zalecamy, aby nie otwierali Państwo wymienionych załączników oraz korzystali z najnowszych wzorców wirusów.

Zachęcamy do odwiedzenia naszego SKLEPU , zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ

Opracowano na podstawie materiałów Trend Micro
© 1999 Trend Micro Incorporated. All Rights Reserved

 

 

               

Copyright  Air Trend 1999-2004