FW: Pozor na virus I love you - A jak jej zrusit
LVydra na Qgir.cz
LVydra na Qgir.cz
Čtvrtek Květen 4 16:29:57 CEST 2000
Upřesnění:
> I ja jsem ho dostal a rozborem jeho kodu jsem zjistil nasledujici :
>
> 1. Zapise se do registru (TYTO KLICE SMAZAT)
> HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32.vbs
>
> HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL.vbs
> HKLM\\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX.exe
> 2. Smazat v C:\Windows\MSKernel32.vbs
> C:\Windows\Win32.dll
> C:\WIN-BUGSFIX.exe (může být i jinde)
> C:\Windows\LOVE-LETTER-FOR-YOU.TXT.vbs
> C:\Windows\LOVE-LETTER-FOR-YOU.htm
> 3.Nespoustet InternetExplorer, dokud v jeho vlastnostech nenastavite
domovskou stranku (kterou prepise na svoji a pokusi se stahnout svuj
WIN-BUGSFIX.exe soubor z adresy http://www.skyinet.net/...) opet na svoji.
Jinak po infekci nastavi stranku na prazdnou.
> 4.Kdo pouziva mIRC, v jeho adresari smazat "script.ini".
> 5.K odeslani pouziva osobni adresar *.wab. (Ten pouziva Outlook Expres)
>
Pro jistotu prohledat cely disk na soubory s priponou *.vbs, *.vbe, *.js,
*.jse, *.css, *.wsh, *.sct, *.hta, *.mp2, *.mp3 a tyto o velikosti cca 10kB
vymazat. Je v nich nakopirovan cely virus.
Soubory s priponou *.jpg, *.jpeg vyhleda a ve stejnem adresari vytvori svou
kopii *.jpg.vbs nebo *.jpeg.vbs .
Pouzivate-li mIRC, pak smazte script.ini v adresari programu mIRC. Je
vytvoren viram tak, aby se siril skrz mIRC dale.
>
> Hodne stesti ....
> _____________________________
> Jaroslav Kvapil
> mailto:inf413 na mag.mepnet.cz
Pripojuji se s pranim. Kdyz se to povede, je to lavina mailu :((
S pratelskym pozdravem a pranim krasneho dne
---
Ing. Ludek Vydra
Q.gir s.r.o.
Mailto:LVydra na Qgir.cz
http://www.Qgir.cz
Další informace o konferenci Linux