:

Szerző: Barna József

2001. szeptember 27. 11:46

TROJ_VOTE.A: terrortámadás ezúttal e-mailben

[OCWorkBench] Újabb trójai vírus terjed az interneten, mely ismét csak a gyanútlan Outlook Express-felhasználók számára okozhat igen kellemetlen perceket. A Visual Basic 5-ben írt TROJ_VOTE.A vagy W32.Vote.a@mm néven elhíresült kórokozó e-mail üzenetként érkezik, és a következő információkat tartalmazza:

[OCWorkBench] Újabb trójai vírus terjed az interneten, mely ismét csak a gyanútlan Outlook Express-felhasználók számára okozhat igen kellemetlen perceket. A Visual Basic 5-ben írt TROJ_VOTE.A vagy W32.Vote.a@mm néven elhíresült kórokozó e-mail üzenetként érkezik, és a következő információkat tartalmazza:
Tárgy (subject):
Fwd:Peace BeTween AmeriCa And IsLam !

Az üzenet szövege:
Hi!
iS iT A waR Against AmeriCa Or IsLam!
Let's Vote To Live in Peace!

Melléklet: WTC.EXE

Amennyiben ezzel az üzenettel találkozunk mailboxunkban, feltétlenül töröljük. Ha nem ezt tesszük, és -- ne adj' Isten -- elindítjuk a csatolt WTC.EXE fájlt, a vírus először törli a rezidens vírusirtó programokat, megváltoztatja az Internet Explorer kezdőlapját, megkeresi a merevlemezen található összes .htm vagy .html kiterjesztésű dokumentumot, melyeket a következő szöveggel ír felül:

AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You.
Ezen túlmenően a Windows regisztrációs adatbázisába is belenyúl, és ennek folyományaként -- feltehetően csak a számítógép újraindítása után -- törli a c: merevlemez teljes tartalmát. De természetesen mielőtt ezt megtenné, a címjegyzékben található összes címre továbbítja magát. A vírus csak akkor fut le, ha számítógépen jelen van Visual Basic Runtime Library MSVBVM50.DLL elnevezésű fájlja.

Ha esetleg már megtörtént az, aminek nem kellett volna megtörténnie, és elindítottuk volna a hívatlan vendéget, a számítógép újraindítása előtt még van lehetőség a nagyobb baj elkerülésére:

  • a Regedit.exe programot elindítva távolítsuk el a regisztrációs adatbázisban a

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun

    alatt található Norton.Thar bejegyzést

  • az autoexec.bat file-ból távolítsuk el az "echo Y | format c:" bejegyzést
  • keressük meg merevlemezünkön a módosított .htm és .html kiterjesztésű fájlokat (ezek mérete 1 Kbyte), és töröljük azokat
  • futassuk le a Trend Micro vírusölő program legújabb változatát, amely már képes felismerni a férget

a címlapról