I-Worm/Apost
Win32:Apost je dalším Internetovým wormem, vytvořeným v programu Visual Basic. Do počítače přichází jako příloha zprávy elektronické pošty pod jménem README.EXE. Infikovaná zpráva má následující vlastnosti:
Subjekt:
As per your request!
Tělo zprávy:
Please find attached file for your review.
I look forward to hear from you again very soon. Thank you.
Příloha/soubor:
README.EXE
Po spuštění worm ověří, zda v adresáři Windows existuje soubor README.EXE. Pokud ne, nakopíruje tam pod tímto jménem sám sebe. Pak zkopíruje takový soubor README.EXE do všech kořenových adresářů všech lokálních disků a v souboru registry vytvoří položku, která jej aktivuje při každém spuštění počítače:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\macrosoft= C:\WINDOWS\readme.exe
Pak worm pošle sebe sama na každou adresu v adresáři programu MS Outlook a zobrazí dialogové okno, se záhlavím "Urgent!". Toto okno obsahuje jediné tlačítko s nápisem "Open".
pokud je toto tlačítko stisknuto, worm zobrazí chybové hlášení se záhlavím "WinZip SelfExtractor: Warning" a s textem "CRC error: 34#". Pak worm svoji činnost ukončí.
Povšimněte si prosím, že worm netestuje délku či obsah souboru README.EXE. Pokud takový soubor v adresáři Windows existoval již před aktivací viru, worm může odeslat místo sebe sama zcela nevinný soubor, který není wormem infikován (ale který může být samozřejmě napaden jiným virem či může obsahovat trojského koně).
Odstranění:
Smažte výše zmíněný klíč v registry
Restartujte počítač