Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
30.05.2003 - Martin LEPIŠ - Poplašné správy
Poplašná správa o víruse nazvanom Win32.MFG.Tassos...

Po krátkom období, počas ktorého sa šírili relatívne nezaujímavé poplašné správy je tu ďalší hoax informujúci o novom (... no našťastie neexistujúcom) škodlivom kóde, nazvanom Win32.MFG.Tassos. Text tohto hoaxu je na rozdiel od tých predchádzajúcich značne odlišný, nakoľko príjemcu nežiada o svoje hromadné rozposielanie a o novo objavenom víruse nehovorí nič výnimočné. Informuje len o tom, že sa šíri skryte v rámci emailových správ a napáda počítače s OS MS Windows. Zároveň autor tejto poplašnej správy ponúka dve možnosti ako vírus eliminovať z infikovaného počítača – prvou je jednoúčelový AV-program a druhou postup krok za krokom vyžadujúci odstránenie niekoľkých prvkov zo systémových registrov i súborov z pevného disku... .

Pisateľ tejto poplašnej správy sa značne poučil z chyb svojich predchodcov a preto sa snažil jej obsah vytvoriť tak, aby na menej skúsených používateľov zapôsobila ako sumár informácií o novom, pred časom objavenom počítačovom víruse, ktorý už našťastie dokáže identifikovať najaktuálnejšia verzia AV-systému Norton Anti-Virus alebo ponúkaný jednoúčelový AV-program od spoločnosti Symantec. Problémom v tomto prípade je však to, že AV-systém Norton Anti-Virus nedokáže identifikovať neexistujúci škodlivý kód nech by bol akokoľvek pravidelne aktualizovaný a jednoúčelový AV-program za veľa nestojí, ak ho ešte nikto nenaprogramoval (... prezentovaný odkaz pre jeho download v rámci hoaxu je vymyslený – neplatný). Ak teda nejaký vyslovene naivný používateľ uverí, že jeho počítač bol a ešte stále je infikovaný škodlivým kódom popisovaným v danej poplašnej správe neostáva mu nič iné, než siahnuť po poslednej možnosti, ktorou je manuálna eliminácia vírusu. Popravde povedané ponúknutý postup na prvý pohľad vyzerá pre používateľa – laika skutočne lákavo (... veď je písaný formou krok za krokom). Problém je však v tom, že v skutočnosti sa nejedná o postup ako eliminovať počítačový vírus Win32.MFG.Tassos z infikovaného systému, ale o podvrhnutý sled krokov, prostredníctvom ktorých používateľ – laik svojim vlastným konaním môže spôsobiť znefunkčnenie – poškodenie používaného OS MS Windows. (!!!)
Len pre úplnosť dodajme, že najkritickejšie kroky celého postupu spočívajú v odstránení súborov: NTDETECT.COM (... z OS MS Windows NT/2000/XP) a TWUNK_32.EXE (... z OS MS Windows 9x/Me). Ich absencia pri novom štarte systému má za následok vznik chyby (resp. chybového hlásenia), ktorá znemožní ďalšie používanie počítača až do okamihu, kým problém neodstráni vyškolený softvérový odborník. Preto už len z preventívneho dôvodu odporúčame všetkým používateľom, aby sa v žiadnom prípade nepokúšali vyššie uvedené súbory odstrániť zo svojho systému!

Suma sumárum – text emailovej správy, ktorej anglický originál si môžete detailnejšie pozrieť v závere tohto článku obsahuje nepravdivé/zavádzajúce informácie. Žiaden v nej popisovaný počítačový vírus sa Internetom nešíril – nešíri a šíriť určite ani nebude. V žiadnom prípade teda takúto ani podobne vyzerajúcu či obsahovo koncipovanú emailovú správu neposielajte nikomu ďalšiemu, nevykonávajte žiadne postupy, ktoré sú v nej obsiahnuté a pokiaľ možno ju čo najskôr po jej prijatí odstráňte zo svojho mailboxu.

Anglická verzia poplašnej správy:

Dear all,

I am sorry to tell you that one of our mail-server was infected by W32.MFG.Tassos@mm. I had this Virus on my PC. You may be have received this virus if you read or send any mail the last 9 days. A infection is only possible on windows systems. The virus would be detected by NAV if you have the latest definition list. Infected mails seems to be clean, but they run a pernicious local windows-script that modifies or deletes the rundll32.exe and the aspi4.dll. It also modifies some registry entries. This virus makes copys of his sefl till your harddrive is totally full. Any mail can be infected. After cleaning your system, install the latest Definition list from symantec. The virus reads your Outlook-contacts, and will be sended to any one of them, if there is an e-mail address registered. There are 2 ways to check if you are infected, and if yes, to resolve this infection:

1) Automatic Recovery Tool from Symantec:

Go to following link and follow the instructions:
http://securityresponse.symantec.com/avcenter/venc/data/w32.mfg.tassos@mm.removal.tool.html
Please be sure that you run this tool in save mod.

WARNING!!!
FOLLOWING STEP DESCRIBES MODIFYING OF WINDOWS REGISTRY. DON'T PROCEED IF YOU ARE SURE THAT YOUR SYSTEM IS NOT INFECTED. PLEASE CONTACT YOUR ADMINISTRATOR TO MODIFY THE REGISTRY IF YOU ARE NOT SURE HOW TO DO IT, OR IF YOU DON'T KNOW IF YOU HAVE TO.

2) Manual Detection and desinfection:

a) Print this mail out
b) Close any running programms, especialy these programms that use internet connection (Netscape, Internet Explerer, Outlook, Messenger e.t.c.)
c) Plug your networkkables (also ISDN Cable or Modem Cable) out from your PC and determinate any W-LAN-Connections.
d) Click on Start -> Run -> regedit
e) Search for following key: "\\HKEY_LOKAL_MACHINE\SOFTWARE\Microsoft\Windows\Run" If you see a folder called OptionalComponents you are infected. Please delete this Folder.
f) Search for following key and if it exists on your registry delete it:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products"
g) Close regedit.
h) press start -> run -> type "cmd" and press enter
i) type "C:" -> type "cd\" -> type "cd %systemroot%" -> type "cd system 32" -> type "del *.msc /q /f" -> type "exit"
j) klick on "My Computer" -> Folder Options -> View -> enable "show hidden files and folders" and disable "hide protected operating system files" -> press ok -> press ok
k) klick on start -> search -> search for a file called NTDETECT.COM and delete it. If this file does not exist search for a file called TWUNK_32.EXE and delete it.
l) replace your rundll32.exe with a not infected version. (You will get one if you contact Microsoft support http://support.microsoft.com/default.aspx?scid=FH;EN-US;FAQS)
m) install the latest aspi drivers.

Sorry for this effort.

Vytlačiť článok... Zdroj: HOAX.cz


Súvisiace články:
13.08.2003  Poplašná správa o víruse nazvanom Sub_ENTER... - Poplašné správy
10.02.2003  Poplašná správa o víruse nazvanom Jack SQ... - Poplašné správy
13.12.2002  HOAX – nazvaný A Virtual Card For You... - Poplašné správy
21.10.2002  Existuje počítačový vírus pre mobilné telefóny!? - Poplašné správy
27.09.2002  HOAX o víruse ukrytom v prezentácii PowerPoint... - Poplašné správy
30.08.2002  HOAX o novom víruse pre mobilné telefóny... - Poplašné správy
18.06.2002  HOAX o víruse ukrytom v súbore WIN.COM... - Poplašné správy
15.05.2002  HOAX o víruse JDBGMGR.EXE... - Poplašné správy
03.04.2002  Staro-nový HOAX o víruse SULFNBK ešte stále v obehu... - Poplašné správy
07.11.2001  HOAX – Varovanie pred vírusom... - Poplašné správy


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.