Win32/Apost

Win32:Apost je dalÜφm Internetov²m wormem, vytvo°en²m v programu Visual Basic. Do poΦφtaΦe p°ichßzφ jako p°φloha zprßvy elektronickΘ poÜty pod jmΘnem README.EXE. Infikovanß zprßva mß nßsledujφcφ vlastnosti:

Subjekt:

As per your request!

T∞lo zprßvy:

Please find attached file for your review. 
I look forward to hear from you again very soon. Thank you.

P°φloha/soubor:

README.EXE

Po spuÜt∞nφ worm ov∞°φ, zda v adresß°i Windows existuje soubor README.EXE. Pokud ne, nakopφruje tam pod tφmto jmΘnem sßm sebe. Pak zkopφruje takov² soubor README.EXE do vÜech ko°enov²ch adresß°∙ vÜech lokßlnφch disk∙ a v souboru registry vytvo°φ polo₧ku, kterß jej aktivuje p°i ka₧dΘm spuÜt∞nφ poΦφtaΦe: 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\macrosoft= C:\WINDOWS\readme.exe

Pak worm poÜle sebe sama na ka₧dou adresu v adresß°i programu MS Outlook a zobrazφ dialogovΘ okno, se zßhlavφm "Urgent!". Toto okno obsahuje jedinΘ tlaΦφtko s nßpisem "Open".

pokud je toto tlaΦφtko stisknuto, worm zobrazφ chybovΘ hlßÜenφ se zßhlavφm "WinZip SelfExtractor: Warning" a s textem "CRC error: 34#". Pak worm svoji Φinnost ukonΦφ.

PovÜimn∞te si prosφm, ₧e worm netestuje dΘlku Φi obsah souboru README.EXE. Pokud takov² soubor v adresß°i Windows existoval ji₧ p°ed aktivacφ viru, worm m∙₧e odeslat mφsto sebe sama zcela nevinn² soubor, kter² nenφ wormem infikovßn (ale kter² m∙₧e b²t samoz°ejm∞ napaden jin²m virem Φi m∙₧e obsahovat trojskΘho kon∞).

Odstran∞nφ:

  • Sma₧te v²Üe zmφn∞n² klφΦ v registry
  • Restartujte poΦφtaΦ
  • Sma₧te soubor README.EXE v adresß°i Windows a ve vÜech ko°enov²ch adresß°φch vÜech lokßlnφch disk∙

    Zdroj: Alwil software - v²robce antiviru AVAST

    		•

    Jedno·Φelov² antivirus:

    Jedno·Φelov² antivirus nebyl bohu₧el nalezen, zkuste se obrßtit na e-mail igi@viry.cz.

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.