Hedong и CokeBoy - новите нашественици

Категория: Интернет
Етикети:
10.2.2002
Малко след Klez по Internet ни атакуваха и други злонамерени кодове.
CokeBoy е макровирус, който инфектира Word97, Word2000 и WordXP документи. Той показва съобщение на 29-о число всеки месец и вмъква текст в инфектираните документи. Разпространява се чрез e-mail, извършвайки следните действия. Достига системите чрез e-mail съобщение със следните характеристики: Subject: COKEBOY; тяло на съобщението: “A confidential document is for you.. only for u!”; прикрепен файл: инфектиран документ с променливо име.
Вирусът “започва акцията”, когато потребителят отвори прикрепения файл. След като този файл се стартира, Cokeboy ще покаже следното съобщение на екрана, при условие че системната дата е 29-и на който и да е месец:
Вирусът изменя опцията About Microsoft Word в Help menu на Word на лентата с менютата. Cokeboy ще направи неспособни следните macro virus protection, Confirm conversions at open, Prompt to save Normal.dot. След това ще провери дали Normal.Dot е инфектиран. Ако не е, W97M/CokeBoy създава файл, наречен coke4u.drv в основната директория на твърдия диск. Този файл, CokeBoy.Src, съдържа вирусен код и е използван от CokeBoy, за да внесе съдържанието си и да инфектира Normal.Dot. След като Normal.Dot е инфектиран, всеки Word документ, който е отворен в момента, ще бъде автоматично инфектиран.
Съветът на Panda: Ще разберете дали Cokeboy е достигнал до компютъра ви, ако сте получили e-mail съобщение с характеристики, описани по-горе. В такъв случай НЕ ОТВАРЯЙТЕ СЪОБЩЕНИЕТО И НЕ СТАРТИРАЙТЕ ПРИКРЕПЕНИЯ ФАЙЛ. Ако вече сте направили това, вирусът ще опита да се самоизпрати. За да предотвратите изпращането му, изтрийте напълно съобщението от Inbox и от папката Deleted Items. В Windows Registry изтрийте следния вход:
HKLMSoftwareMicrosoftWindows
CurrentVersionRun=C:WindowsCokeBoy
xxxxxxxx.vbs (където xxxxxxx е номерът, направен от 8 случайни цифри).
Друг опасен червей е Hedong, който се стартира автоматично, когато атакуваният потребител прегледа инфектираното съобщение през Preview Pane на Outlook.
Hedong е много разрушителен, тъй като изтрива всички файлове със следните разширения: EXE, MP3, DOC, DLL и DAT, намерени на което и да е устройство на компютъра. Hedong е написан на Visual C++ и е 45152 байтов. Той се разпространява в e-mail съобщение, което може да съдържа два различни прикрепени файла: HELLO.EXE или HELLO.VBS.
Червеят замества стартовата страница в Internet Explorer с http://www.hziee.edu.cn.