Pretty Park網路害蟲及Cholera Worm

最近有兩隻病毒都透過偷發信件方式入侵網路。Pretty Park網路害蟲會發出一封主旨" C:\CoolProgs\Pretty Park.exe"的信件給信箱中的所有人，信件內容為"Test: Pretty Park.exe :)"，若是執行了該檔案，則Pretty Park網路害蟲會備份自已到Windows\system目錄下，更名為FILES32.VXD，並且修改Registry中HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command的值為" FILES32.VXD "%1" %*"，每隔30分鐘此害蟲即會偷發信件給使用者信箱中的所有人。此病毒會將Internet的後門打開，讓遠端的駭客可以透過網路入侵使用者的電腦，也會干擾IRC上的使用者。

使用者若要檢查電腦是否已被感染，可以看Windows\system目錄下是否有FILE32.VXD檔案，可以依下列方式自行清除：

步驟一：先到Windows目錄下執行REGEDIT.EXE檔案將Registry中的HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command值修改成 "%1" %*
步驟二：重新開機。(如此Pretty Park就不會再常駐在記憶體裡了。)
步驟三：將 Windows\system目錄下的FILES32.VXD檔案殺掉。

Cholera Worm(霍亂蟲)信件內容只有一個':)'微笑符號，此害蟲會先出現一個錯誤訊息然後將自己備份到Windows目錄下，更名為RPCSRV.EXE，再修改WIN.INI檔內容的RUN=RPCSRV.EXE，如此電腦每次開機就執行到這行指令，把Cholera Worm常駐在記憶體內。它會尋找TelNet, mIRC, Netscape, IE等所屬存放e-Mail位址的檔案(*.HTM,*.TXT,*.EML,*.DBX,*.MBX,*.NCH,*.IDX)，然後再利用害蟲程式內的發信功能，將SETUP.EXE透過信件傳給所有的人。

Cholera Worm還會產生CTX Phage PE型病毒，此病毒會在被感染後的六個月當天同一個小時內發作(例如感染日子是1999/9/10下午四點，發作日子則是2000/3/10下午四點)，發作時會將電腦的畫面變為互補色(如下圖：桌面原為藍色，發作時變成紅色)。

此病毒也有內藏訊息：
CTX Phage Virus Bio Coded by GriYo / 29A Disclaimer:
This software has been designed for research purposes only. The author is not responsible for
any problems caused due to improper or illegal usageof it

使用者可以檢查Windows目錄下是否有RPCSRV.EXE檔案，若有則代表已被害蟲常駐，可依照下列的步驟將Cholera Worm清除。
步驟一：先將 WIN.INI 內的執行指令殺掉。Run=C:\WINDOWS\RPCSRV.EXE
步驟二：重新開機。(如此Cholera Worm就不會再常駐在記憶體裡了。)
步驟三：將Windows目錄下的RPCSRV.EXE檔案殺掉。

金帥資訊研發的病毒檢驗室(ZAV LAB)可在不改版的情形下將CTX Phage病毒加以攔截。金帥資訊(www.ggreat.com.tw)與金帥資訊Y2K專業網(www.y2000.com.tw)同步在WWW網站上提供『解毒程式』下載，上網可以下載最新的病毒碼及程式。

[ 返回上頁 ]