Kolejne wirusy…
W sieci pojawiły się, zresztą systematycznie od dość dłuższego czasu, nowe wirusy MacSimpsons@mm i Repaer oraz trojan Trojan.Win32.Tepille.
Wirus MacSimpsons@mm, którego potwierdzenie istnienia potwierdziła firma Symantec, atakuje tylko i wyłącznie komputery serii Apple, a swój atak skupia na programie pocztowym Outlook Express i Entourage. Gdy wirus zostanie uaktywniony, uruchamia programy pocztowe i rozsyła się do wszystkich osób znajdujących się w książce adresowej poszkodowanego. Dodatkowo w treści znajdują się informacje o wielu setkach odcinków „Simpsonów”, które w tajemnicy wyprodukowane krążą po Internecie. Odbiorca ma być włąśnie jednym ze szczęśliwych posiadaczy tajemniczych odcinków. Wystarczy tylko zajrzeć do załącznika gdzie się one kryją.
Kolejnym wirusem jest Repaer, który został napisanym w języku Visual Basic Script, a rozprzestrzenia się za pomocą IRC-a. Dodatkowo wykrada on nick oraz hasło zainfekowanego użytkownika. Wirus pojawia się w załączniku, otrzymanego od zainfekowanego użytkownika na kanale IRC-a, w postaci pliku o nazwie: Christina_aguilera_nude!.vbs.
Gdy plik zostanie uruchomiony aktywizuje się, po czym nadpisuje plik script.ini programu mIRC czego efektem jest wysyłanie pliku wirusa do wszystkich uczestników kanału IRC-a, na który wchodzi zainfekowany użytkownik.
Na koniec wirus także wyświetla okienko o rzekomym ostrzeżeniu dotyczącym bezpieczeństwa, wymagające podania nicka oraz hasła. Uzyskane w ten sposób informacje wysyła do swego twórcy.
Kolejnym wirusem, a raczej końiem trojańskim jest Trojan.Win32.Tepille, który blokuje dostęp do komputera.
Gdy wirus zostanie uruchoiony, kopiuje się do katalogu systemowego WINDOWS z nazwą CLEARUP.EXE i umieszcza tę kopię w sekcji „auto-run” Rejestru Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\
Run TePille = %SystemDir%\clearup.EXE.
Po wykonaniu kopii, wirus zmienia nazwy dwóch plików systemowych REGEDIT.EXE oraz MSCONFIG.EXE na pliki z końcówką .BAK, utrudniając samodzielne naprawienie systemu. Po wykonaniu tych operacji trojan wyświetla okno z fałszywym komunikatem:
Error
Imposible cargar OCX mscommondlg.ocx, la aplicacion finalizara,
po czym kończy swoje działanie.
Podczas następnego uruchamiania Windows trojan blokuje system i wyświetla obrazek przedstawiający oczy oraz usta. Klawiatura i mysz są zablokowane. Zamknięcie systemu może być wykonane tylko przy pomocy tzw. twardego resetu, lecz podczas kolejnego uruchomieniu wirus ponownie się uaktywnia.
Aby uniknąć tego problemu, należy uruchomić system w trybie awaryjnym, a następnie usunąć plik trojana z systemowego katalogu WINDOWS, przywrócić poprawne nazwy plikom REGEDIT oraz MSCONFIG (nadając im rozszerzenia EXE), po czym uruchomić Edytor rejestru i usunąć wpis robaka z klucza „Run=”