XRomeo&XJuliet - nowa wersja robaka

Pojawiła się kolejna wersja popularnego ostatnio robaka Romeo&Juliet o nazwie XRomeo&XJuliet.

Robak ma podobne funkcje jak jego poprzednik. Robak zwykle pojawia się w komputerze ofiary w postaci listu elektronicznego w standardzie HTML z załączonymi plikami xromeo.exe i xjuliet.chm. List ma jeden z kilku możliwych tematów:

Romeo&Juliet

where is my Juliet ?

where is my romeo ?

hi

last wish ???

lol :)

...

!!!

newborn

merry christmas!

surprise !

Caution: NEW VIRUS !

scandal !

_

Treść listu napisana w HTML-u zawiera odwołania do identyfikatorów załączonych plików, co wymusza zapisanie ich na dysku oraz uruchomienie pliku xjuliet.chm do wyświetlenia podglądu listu w programie Outlook Express.

Po infekcji nie można uruchamiać żadnych plików z rozszerzeniami: .doc, .xls, .exe, .avi, .bmp, .jpg, .jpeg, .jpe, .gif, .mpg, .mpeg, .mp3, .mp2, .wmf, .wma, .wmv, .vqf, .arj, .lha, .zip, .rar, .reg.

Kliknięcie na dowolnym pliku z ww. rozszerzeniem powoduje zamianę oryginalnego pliku na kopię robaka. Oryginalne pliki zostają skopiowane do katalogu recycled na każdym dysku fizycznym pod zmienioną losową nazwą i rozszerzeniem.

Pliki z załącznika są zapisywane w katalogu c:\windows\temp, a uruchomiony plik myjuliet.chm uruchamia program xromeo.exe. Jest to możliwe dzięki błędowi w obsłudze plików pomocy w standardzie HTML. Program xromeo.exe tworzy własną kopię w katalogu c:\windows\system w pliku sysrnj.exe, a następnie jest modyfikowany Rejestr systemu Windows. Efektem tego jest zamiana wszystkich plików o rozszerzeniach: .doc, .xls, .exe, .avi, .bmp, .jpg, .jpeg, .jpe, .gif, .mpg, .mpeg, .mp3, .mp2, .wmf, .wma, .wmv, .vqf, .arj, .lha, .zip, .rar, .reg w momencie uruchomienia ich przez użytkownika na kopie robaka, o oryginalnej nazwie pliku z dodanym rozszerzeniem exe - np. moj_dokument.doc zostaje zamieniony na moj_dokument.doc.exe.

Robak rozsyła się za pomocą poczty elektronicznej, używając następujących serwerów:

Name: kki.net.pl

Address: 195.117.117.6

Name: free.ecig.pl

Address: 212.244.197.164

Name: armagedon.vc.pl

Address: 195.205.96.185

Name: bbs.chip.pl

Address: 195.116.104.14

Name: siuks2.ids-man.ids.pl

Address: 195.117.3.111

Name: assassin.pi.net.pl

Address: 195.116.221.65

Name: mail.kopex.com.pl

Address: 212.244.67.20

Name: ym01-vs1.ii.com.pl

Address: 194.181.138.141

Address: 195.205.121.183

Name: vav.dnd.com.pl

Address: 195.117.88.7

Name: sv.nitaynet.com

Address: 212.160.95.1

Aliases: 1.95.160.212.in-addr.arpa

Name: srv0001.softhard.com.pl

Address: 212.244.241.81

Name: oceanic.wsisiz.edu.pl

Address: 195.205.208.33

Name: morpheus.pete.gliwice.pl

Address: 212.106.133.133

Name: olo.sprint.com.pl

Address: 195.116.72.5

Name: virtual.pnet.pl

Address: 213.25.175.3

Name: promail.pl

Address: 195.117.99.98

Name: memo.gate.pl

Address: 213.25.111.2

<b>Sposób usunięcia robaka XRomeo&Xjuliet rekomendowany przez firmę MKS.</b>

1. Nacisnąć jednocześnie klawisze Ctrl+Alt+Del. Gdy pojawi się okienko Menedżera Zadań, zamknąć za pomocą przycisku "Zamknij" zadania o nazwie:

Romeo&Juliet

Xromeo

2. Zainstalować najnowszą wersję oprogramowania mks_vir (z 1 grudnia 2000 r.) po pobraniu ze strony producenta pod adresem: http://www.mks.com.pl/pobierz.html

3. Należy z menu programu do obsługi poczty elektronicznej Outlook (lub Outlook Express) wybrać: Widok -> Układ - odhaczyć "Pokaż okienko podglądu" (ma być pusty kwadrat [ ])

4. Skasować w programie pocztowym zarażone listy.

5. Pobrać plik rejestru http://www.mks.com.pl/files/pomoc/usunxrom.reg zapisać na dyskietce i ochronić ją przed zapisem.

6. Uruchomić ponownie komputer w trybie MS-DOS (Start > Zamknij system > Uruchom ponownie w trybie MS-DOS), a następnie gdy pojawi się znak zachęty, włożyć dyskietkę przygotowaną zgodnie z zaleceniami w pkt. 5 i następnie wpisać:

regedit a:\usunxrom.reg

Po pomyślnym dodaniu zawartości pliku z dyskietki do Rejestru należy wyjąć dyskietkę z napędu i ponownie uruchomić system Windows.

7. Używając Skanera mks_vir przeskanować dysk twardy komputera, usuwając wszystkie pliki, w których został wykryty robak XRomeo&XJuliet, a w szczególności plik: c:\windows\sysrnj.exe

Można próbować ręcznie odtwarzać pliki zamienione przez robaka. Oryginalne ich kopie znajdują się w katalogu C, D, E:\recycled z losowo nadanymi nazwami.

<b>UWAGA!!! Pliki te są ukryte!</b>