Új vírus a láthatáron

, 2000. február 2. 19:43
Január közepén a Computer Associates szakértői hívták fel a kiterjedt elektronikus levelezést folytató felhasználók figyelmét a Plage 2000 elnevezésű speciális vírusra, amely a levelezőrendszereken keresztül terjed.
A vírus egy előzőleg elküldött e-mailre automatikusan érkező válaszhoz csatoltan érkezik, a válaszlevél teljes terjedelmében tartalmazza az eredeti e-mailt, majd a következőket fűzi az üzenet végére:

P2000 Mail auto-reply:

"I'll try to reply as soon as possible.

Take a look to the attachment and send me your opinion!"

Get your FREE P2000 Mail now!

A gonosz kis vírus éppen ehhez a válaszüzenethez csatoltan érkezik a következő fájlnevek egyikével: pics.exe, images.exe, joke.exe, PsPGame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchURL.exe, SETUP.EXE, Card.EXE, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe.

A fenti állományok futtatásával a vírus úgy jelenik meg, mint egy önkicsomagoló WinZip-állomány. Kibontás közben azonban a következő két hibaüzenet egyikét jeleníti meg a képernyőn:

WinZip self-Extractor

ZIP damaged: file : Bad CRC number.

Possible cause: file transfer error

vagy

WinZip self-Extractor

- : - Application Error The exception unknown software exception (0xc00000fd) occurred in the application...

Mindez csak a figyelem elterelésére szolgál, ugyanis a huncut vírus eközben "inetd.exe" néven bemásolja magát a Windows-könyvtárba, és bejegyzi magát a regisztrációs fájlba is a következő jelzéssel:

"HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\

run = \INETD.EXE"

Ezek után a vírus ötpercenként megkísérli az Outlook- vagy az Exchange-kliens futtatását, amikor azonban egy új e-mail érkezik, azt a vírus önállóan megválaszolja, mégpedig ugyanazzal az automatikus üzenettel, ahogyan a felhasználó gépébe is eljutott a kártevő programocska. A legkellemetlenebb következmény, hogy az eredeti üzenet olvasatlan marad.

A Plage 2000 tehát elsősorban azokat a felhasználókat fenyegeti, akik folyamatos online üzemben használják gépüket. Habár a vírus nem végez egyéb rombolást, képes túlterhelni és leállítani a mailszervert.

A Plage 2000-t a CA InoculateIT szekértői fedezték fel, és mint értesítésükben közreadták, a fertőzött gép megtisztításához minden olyan futtatható fájlt le kell törölni, amelyről kiderül, hogy kapcsolatba került a vírussal. Ha azonban nem lehet letörölni a fertőzött fájlokat, a felhasználónak feltétlenül el kell távolítani a regisztrációs és a WIN.INI bejegyzést (ha van ilyen), újra kell indítani a gépet, majd megsemmisíteni a futtatható fájlt.

A Computer Associates nem csak a probléma felfedezésében, hanem megoldásában is segít, egyéni felhasználók számára ingyenesen tölthető le a cég vírusirtó szoftvere az antivirus.cai.com címről.