האם זה וירוס חדש???

[anat30g]

האם זה וירוס חדש???

ביומים האחרונים קיבלתי 6 אימיילים מאנשים שונים עם קבצים בשמות שונים עם סיומת כפולה של mp3.scr - בנוסף מצורף לאימייל גם קובץ txt רגיל וריק. רציתי לדעת האם זה וירוס חדש או וריאציה של התולעת "סירקאם" ??? מה שמיוחד בוירוס הזה שהוא משנה את הכתובת של השולח ומוסיף קו תחתון (_) לכתובת האימייל - האם מישהו יודע על מה מדובר???? ענת

 

[anat30g]

זהירות - כן - זה וירוס חדש../images/Emo18.gif

בעצם זה לא וירוס אחד חדש - אלא 2 !!!!! שני וירוסים חדשים משתוללים עכשיו ברשת - במהלך היומיים האחרונים קיבלתי 9 אימיילים עם הוירוס. האימילים מגיעים עם קבצים בשמות שונים עם סיומת כפולה - במקרה שלי הסיומות כולן היו mp3.scr - בנוסף מצורף לאימייל גם קובץ txt רגיל וריק. האימייל עצמו ריק - לא כתוב בו כלום. מה שמיוחד בוירוס הזה שהוא משנה את הכתובת של השולח ומוסיף קו תחתון ( _ ) בתחילת כתובת האימייל. בנוסף הקובץ המצורף שוקל עד 60KB - ומנסה אוטומטית להתקין את עצמו במחשב. לקרוא על הוירוסים בעברית - http://www.ynet.co.il/articles/0,7340,L-1353109,FF.html לקורא על הוירוסים באנגלית - http://www.norman.no/virus_info/w32_badtrans_29090_mm.shtml http://www.norman.no/virus_info/w32_aliz_4096_mm.shtml זה הזמן לעדכן את האנטי-וירוס שלכם!!! כמו כן - שלחו הודעה כזאת לכל רשימת התפוצה שלכם - שגם הם יזהרו!!! שיהיה לכולם יום בטוח - ענת

 

[shed]

אכן כן... ואני הספקתי כבר לחטוף...

 

[צב חיפוש]

שיט גם אני קיבלתי

מה עושים אם פתחתי את הקובץ? האמת שלא הצלחתי לפתוח את הקובץ ממש , בכל מקרה איך אוכל לדעת אם הותקפתי מהם הסממנים? תודה צב

 

[shed]

אז ככה

וזה בערך תמצית הכתבה של סימנטק. תריץ עדכון לאנטי וירוס (האחרון הוא מה-24.11). תריץ בדיקה על כל סוגי הקבצים (ולא רק לפי סיומות מסויימות) תמחק את כל מה שנגוע ב- w32.bartrends תעיף מהרג´יסטרי את המפתח הבא: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=kernel32.exe אני בעיצומו של התהליך ברגעים אלה ממש (כותב ממחשב אחר).

 

[צב חיפוש]

תודה אבל איך אני מגיע

לרגיסטרי?

 

[shed]

מריץ regedit

 

[צב חיפוש]

אני מאוד מודה לך אבל יש בעיה נוספת

בכל פעם שאני מוחק את זה הוא חוזר שוב כשאני חוזר לבדוק אם הוא הוסר. מה ניתן לעשות? תודה רבה על עזרתך

 

[shed]

טוב, אני כבר מאחוריו

וקצת הסברים: מסתבר שהוירוס הזה מנצל חור ב- outlook express גרסאות 5 ו-6. כאשר הוא מופעל, (לפעמים גם אם לא נפתח הקובץ המצורף) הוא תוקף את -kernel32 ומשנה ברג´יסטרי את המפתח שרשמתי בהודעה קודמת. הוירוס מפיץ את עצמו ע"י שליחת דואר אלקטרוני, כאשר הוא מוסיף Re לפני הנושא, כדי שיחשבו שמדובר ב-reply. בנוסף הוירוס מריץ תוכנה שנקראת BackDoor-NK.server אשר מבצעת הוק על המקלדת, מקליטה את מה שמוקש, ואחת לזמן מסויים (בערך 24 שעות) משגרת את כל המידע הזה, (כולל שמוש משתמשים, סיסמאות וכיוצא בזה) לכתובת בהוטמייל. (jd8t או משהו כזה). מה עושים??? אני כבר אחרי תהליך ההנשמה למחשב שלי... וזה מה שעשיתי (לפי ההוראות של סימנטק). 1. הורדת עדכון לאנטי וירוס (גם נורטון וגם מק´אפי הוציאו עדכון ביומיים האחרונים). 2. ביצוע סריקה על כל סוגי הוירוסים ומחיקה (לא בידוד) של כל מה שנגוע ב-BadTrans.B. 3. מחיקת המפתח הנ"ל מהרג´יסטרי. 4. restart. יהיו כמה בעיות, בעיקר של הגדרות חומרה אבל בסה"כ הכל מסתדר. מומלץ להעיף מבט באתר של מק´אפי או של סימנטק.

 

[צב חיפוש]

כן אבל הבעיה

שאני מוחק את ה- KARNEL מהרגיסטרי הוא מופיע שוב. תודה בכל אופן

 

[עוזי 2]

אז תריץ תוכנת אנטיוירוס טובה

תריץ תוכנת אנטיוירוס טובה ומעודכנת ותן לה להסיר את הוירוס. תוכנות טובות אמורות להסיר גם את ההפניות לוירוסים. הזכרתי כאן כמה פעמים מספר תוכנות חינמיות. F-Prot ביניהן. חשוב לעדכן קובץ נתונים. לגבי ה- BadTrans.b חשוב מאוד לעדכן עדכוני בטיחות, כי הוא מנצל את אותה בעיית אבטחה שהנימדה ניצל, שכאשר ה- MIME header דיווח על קובץ כעל קובץ אודיו אינטרנט אקספלורר (גם דרך Outlook/OutlookExpress) היה מריץ אותו אוטומטית ע"פי הסיומת שלו. אחרת תמשיכו להדבק בוירוס.

 

[עוזי 2]

אפשרות אחרת

http://www.claymania.com/badtrans-b-removal.html

 

[yaniv002]

אני קיבלתי 3 הודעות כאלו,בבקשה קראו

אני קיבלתי 3 הודעות שאחד מהן ניסתה להפתח לבד,אבל מזל שהoutlook שלי פתח את ההודעה שמזהירה על פתיחת קבצים בדואר האלקטרוני. ההודעה הופיע גם שפתחתי את ההודעות האחרות. אז אם הופיע לי ההודעה זה אומר שהוירוס לא הותקן אצלי,נכון?