XRomeo&XJuliet - nowa wersja robaka
- Krzysztof Arkuszewski,
- 15.02.2001
Pojawiła się kolejna wersja popularnego ostatnio robaka Romeo&Juliet o nazwie XRomeo&XJuliet.
Robak ma podobne funkcje jak jego poprzednik. Robak zwykle pojawia się w komputerze ofiary w postaci listu elektronicznego w standardzie HTML z załączonymi plikami xromeo.exe i xjuliet.chm. List ma jeden z kilku możliwych tematów:
Romeo&Juliet
where is my Juliet ?
where is my romeo ?
hi
last wish ???
lol :)
...
!!!
newborn
merry christmas!
surprise !
Caution: NEW VIRUS !
scandal !
_
Treść listu napisana w HTML-u zawiera odwołania do identyfikatorów załączonych plików, co wymusza zapisanie ich na dysku oraz uruchomienie pliku xjuliet.chm do wyświetlenia podglądu listu w programie Outlook Express.
Po infekcji nie można uruchamiać żadnych plików z rozszerzeniami: .doc, .xls, .exe, .avi, .bmp, .jpg, .jpeg, .jpe, .gif, .mpg, .mpeg, .mp3, .mp2, .wmf, .wma, .wmv, .vqf, .arj, .lha, .zip, .rar, .reg.
Zobacz również:
Kliknięcie na dowolnym pliku z ww. rozszerzeniem powoduje zamianę oryginalnego pliku na kopię robaka. Oryginalne pliki zostają skopiowane do katalogu recycled na każdym dysku fizycznym pod zmienioną losową nazwą i rozszerzeniem.
Pliki z załącznika są zapisywane w katalogu c:\windows\temp, a uruchomiony plik myjuliet.chm uruchamia program xromeo.exe. Jest to możliwe dzięki błędowi w obsłudze plików pomocy w standardzie HTML. Program xromeo.exe tworzy własną kopię w katalogu c:\windows\system w pliku sysrnj.exe, a następnie jest modyfikowany Rejestr systemu Windows. Efektem tego jest zamiana wszystkich plików o rozszerzeniach: .doc, .xls, .exe, .avi, .bmp, .jpg, .jpeg, .jpe, .gif, .mpg, .mpeg, .mp3, .mp2, .wmf, .wma, .wmv, .vqf, .arj, .lha, .zip, .rar, .reg w momencie uruchomienia ich przez użytkownika na kopie robaka, o oryginalnej nazwie pliku z dodanym rozszerzeniem exe - np. moj_dokument.doc zostaje zamieniony na moj_dokument.doc.exe.
Robak rozsyła się za pomocą poczty elektronicznej, używając następujących serwerów:
Name: kki.net.pl
Address: 195.117.117.6
Name: free.ecig.pl
Address: 212.244.197.164
Name: armagedon.vc.pl
Address: 195.205.96.185
Name: bbs.chip.pl
Address: 195.116.104.14
Name: siuks2.ids-man.ids.pl
Address: 195.117.3.111
Name: assassin.pi.net.pl
Address: 195.116.221.65
Name: mail.kopex.com.pl
Address: 212.244.67.20
Name: ym01-vs1.ii.com.pl
Address: 194.181.138.141
Address: 195.205.121.183
Name: vav.dnd.com.pl
Address: 195.117.88.7
Name: sv.nitaynet.com
Address: 212.160.95.1
Aliases: 1.95.160.212.in-addr.arpa
Name: srv0001.softhard.com.pl
Address: 212.244.241.81
Name: oceanic.wsisiz.edu.pl
Address: 195.205.208.33
Name: morpheus.pete.gliwice.pl
Address: 212.106.133.133
Name: olo.sprint.com.pl
Address: 195.116.72.5
Name: virtual.pnet.pl
Address: 213.25.175.3
Name: promail.pl
Address: 195.117.99.98
Name: memo.gate.pl
Address: 213.25.111.2
<b>Sposób usunięcia robaka XRomeo&Xjuliet rekomendowany przez firmę MKS.</b>
1. Nacisnąć jednocześnie klawisze Ctrl+Alt+Del. Gdy pojawi się okienko Menedżera Zadań, zamknąć za pomocą przycisku "Zamknij" zadania o nazwie:
Romeo&Juliet
Xromeo
2. Zainstalować najnowszą wersję oprogramowania mks_vir (z 1 grudnia 2000 r.) po pobraniu ze strony producenta pod adresem: http://www.mks.com.pl/pobierz.html
3. Należy z menu programu do obsługi poczty elektronicznej Outlook (lub Outlook Express) wybrać: Widok -> Układ - odhaczyć "Pokaż okienko podglądu" (ma być pusty kwadrat [ ])
4. Skasować w programie pocztowym zarażone listy.
5. Pobrać plik rejestru http://www.mks.com.pl/files/pomoc/usunxrom.reg zapisać na dyskietce i ochronić ją przed zapisem.
6. Uruchomić ponownie komputer w trybie MS-DOS (Start > Zamknij system > Uruchom ponownie w trybie MS-DOS), a następnie gdy pojawi się znak zachęty, włożyć dyskietkę przygotowaną zgodnie z zaleceniami w pkt. 5 i następnie wpisać:
regedit a:\usunxrom.reg
Po pomyślnym dodaniu zawartości pliku z dyskietki do Rejestru należy wyjąć dyskietkę z napędu i ponownie uruchomić system Windows.
7. Używając Skanera mks_vir przeskanować dysk twardy komputera, usuwając wszystkie pliki, w których został wykryty robak XRomeo&XJuliet, a w szczególności plik: c:\windows\sysrnj.exe
Można próbować ręcznie odtwarzać pliki zamienione przez robaka. Oryginalne ich kopie znajdują się w katalogu C, D, E:\recycled z losowo nadanymi nazwami.
<b>UWAGA!!! Pliki te są ukryte!</b>