Win32/Sobig.E

Po vzoru sv²ch starÜφch bratr∙ je op∞t adresa odesφlatele infikovanΘho e-mailu zfalÜovanß: support@yahoo.com (m∙₧e b²t i odliÜnß).

P°edchozφ °ßdky naznaΦily, ₧e Win32/Sobig.E se pochopiteln∞ Üφ°φ elektronickou poÜtou, tedy e-mailem. V p°edm∞tu takovΘho emailu se mohou objevit nßsledujφcφ texty:

Re: Application
Re: Movie
Re: Movies
Re: Submitted
Re: ScRe:ensaver
Re: Documents
Re: Re: Application ref 003644
Re: Re: Document
Your application
Application.pif
Applications.pif
movie.pif
Screensaver.scr
submited.pif
new document.pif
Re: document.pif
004448554.pif
Referer.pif

V p°φloze pak najdeme jeden z nßsledujφcφch soubor∙:

your_details.zip
application.zip
document.zip
screensaver.zip
movie.zip

Jak si m∙₧ete vÜimnout, nejde o klasickΘ spustitelnΘ soubory, ale o soubory zaarchivovanΘ ZIPem !!! Infikovan² soubor se nachßzφ a₧ uvnit° ZIPu !

Krom∞ toho se dokß₧e Üφ°it i p°es nevhodn∞ sφ¥ov∞ nasdφlenΘ pevnΘ disky. Pokud mu to situace umo₧≥uje (sdφlenφ adresß°e Windows pro zßpis i Φtenφ), Üφ°φ se prost°ednictvφm souboru, kter² umφstφ do skupiny "Po spuÜt∞nφ" v nabφdce START.

RuΦnφ dezinfekce tohoto viru spoΦφvß v odmazßnφ souboru winssk32.exe, kter² se nachßzφ v adresß°i Windows a nßsledn∞ v likvidaci polo₧ky SSK Service, kterß na n∞j odkazuje z klφΦe registr∙: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Krom∞ toho je vhodnΘ odmazat i soubor msrrf.dat.

Podobn∞ jako p°edchozφ varianty obsahuje podmφnku, dφky kterΘ se p°estane zcela Üφ°it po 13. Φervenci 2003. Zachrßnit ho m∙₧e snad jen Üpatn∞ nastaven² datum poΦφtaΦe :-)


Jedno·Φelov² antivirus:

Win32/Sobig.E
  • Popis/pou₧itφ: Z Windows.

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.