От Лабораториите на Panda Software съобщават за появата на Atak.H. Това е червей без разрушителни ефекти, който се разпространява по e-mail в съобщение с вариращи характеристики, което се разпространява като коледно пожелание.
Atak.H лесно се разпознава, тъй като достига компютъра в съобщение със следните характеристики:
Subject: някой от следните:
Happy New Year!
Merry X-Mas!
Message: написано е в HTML формат
Attachments: прикачените файлове обикновено са компресирани в ZIP формат и имат някои от следните имена: BAT, COM, PIF, SCR.
Името на декомпресирания файл е като оригинала и има BAT, COM, PIF или SCR разширения.
Прикачения файл може да стигне до компютъра и без да е компресиран.
Стратегия на заразяване:
Atak.H създава файлът DEC25.EXE в Windows system directory. Този файл е копие на червея.
На компютри с операционни системи Windows Me/98/95, Atak.H модифицира файла WIN.INI. Добавя следния ред в [windows] секцията:
run = %sysdir%\ dec25.exe
където %sysdir% е Windows system directory.
Atak.H създава следните входове в Windows Registry, на компютри с Windows 2003/XP/2000/NT:
HKEY_CURRENT_USER\ Software\ Microsoft\ WindowsNT\ CurrentVersion\ Windows
Run = %sysdir%\ dec25.exe
Начини на предаване:
Atak.H прави следното:
Достига до компютъра в е-mail съобщения с вариращи характеристики под формата на коледни поздравления:
Sender:
Atak.H фалшифицира e-mail адреса, от който е изпратен, което може да породи объркване.
Subject:
Happy New Year!
Merry X-Mas!
Message: написано е в HTML формат.
Attachments: прикачените файлове обикновено са компресирани в ZIP формат и имат някои от следните имена: BAT, COM, PIF, SCR.
Името на декомпресирания файл е като оригинала и има BAT, COM, PIF или SCR разширения.
Прикачения файл може да стигне до компютъра и без да е компресиран.
Компютърът се заразява когато е стартиран прикачения файл.
Atak.H търси за e-mail адреси във файлове със следните разширения: ASP, DBX, EML, HTM, HTML, JSP, LOG, MHT, MSG, PHP и TXT.
Atak.H се самоизпраща на събраните адреси, използвайки собствена SMTP машина.
Заразен ли е компютърът ми?
- Проверете дали сте получили съобщение с описаните по-горе характеристики.
-Сканирайте компютъра изцяло, използвайки антивирусен продукт на Panda, след като сте проверили дали програмата е обновила вирусните си дефиниции.
Как да премахнете Atak.H?
- Преди всичко, ако сте получили съобщение с описаните по-горе характеристики, не стартирайте прикачения файл и го изтрийте, включително и от папката Deleted Items.
- Ако продуктът на Panda, който използвате открие Atak.H по време на сканирането, автоматично ще Ви предложи опцията да го изтриете. Направете това, следвайки програмните инструкции.
-Накрая възстановете оригиналната конфигурация на компютъра, следвайки инструкциите:
- На компютри с Windows 2003/XP/2000/NT, изтрийте входове на Atak.H в Windows Registry:
HKEY_CURRENT_USER\ Software\ Microsoft\ WindowsNT\ CurrentVersion\ Windows
Run = %sysdir%\ dec25.exe
- На компютри с Windows Me/98/95, възстановете WIN.INI файла. Изтрийте следния ред от [windows] секцията:
run = %sysdir%\ dec25.exe.
Рестартирайте компютъра.