ctx

[金帥科技報導]　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 1999/9/15

Pretty Park網路害蟲具有駭客功能
若是有收到主旨"C:\CoolProgs\Pretty Park.exe"的信件
請不要執行附帶檔Pretty Park.exe

網際網路這幾年快速興起後使用者透過E-mail大量傳播信件訊息，E-mail附帶檔已成為電腦病毒作者最喜歡的散播途徑。而當Melissa病毒與ExploreZIP(探險蟲)透過偷發信件功能，造成網路上的大流傳後，這種散播病毒的方式更是成為病毒作者的最愛。最近有一隻遠從歐洲傳出來的Pretty Park網路害蟲也是透過此種方式大量的入侵台灣網路。Pretty Park網路害蟲會發出一封主旨" C:\CoolProgs\Pretty Park.exe "的信件給信箱中的所有人，信件內容為" Test: Pretty Park.exe :) "，若是執行了該檔案，則Pretty Park網路害蟲會備份自已到Windows\system目錄下更名為FILES32.VXD，並且修改Registry中的
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command 的值為" FILES32.VXD "%1" %* "，如此每次開機執行檔案時害蟲就可以常駐在記憶體內了。每隔30分鐘此害蟲即會偷發信件給使用者信箱中的所有人。

Pretty Park網路害蟲也具有駭客功能，會將Internet的後門打開，讓遠端的駭客可以透過網路入侵使用者的電腦，也會干擾IRC上的使用者，造成網路族的大不便。根據金帥資訊最近接到的報案資料來看，國內已有大量電腦使用者受到侵入，而網路上的此類偷發信件也正在互相流傳中。

如何判斷自己是否已被感染：

使用者若要檢查是否已被害蟲常駐，可以看Windows\system目錄下是否有FILE32.VXD檔案。

如何自行將Pretty Park(網路害蟲)清除：(不建議使用，以免造成不可預知的問題)

請依照下列的步驟：

步驟一：
先到Windows目錄下執行REGEDIT.EXE檔案
將Registry中的HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
值修改成"%1" %*(請注意前面不要加任何空白，即正確內容只能為"%1" %*)

步驟二：
重新開機。(如此Pretty Park就不會再常駐在記憶體裡了。)

步驟三：
將 Windows\system目錄下的FILES32.VXD檔案殺掉。

防解毒方案：

經證實ZLOCK可成功的攔截此病毒，金帥資訊 (www.ggreat.com.tw) 與金帥資訊Y2K專業網（www.y2000.com.tw）同步在WWW網站上提供『解毒程式』。

Cholera Worm(霍亂蟲)新型的網路害蟲
透過E-mail散播再結合CTX Phage病毒
威脅性與散播速度更甚Melissa病毒與ExploreZIP(探險蟲)
Windows 2000 也難逃魔手

由於E-mail附帶檔的功能有利病毒的散播，所以外國的【29A】病毒組織更是針對這種散播方式有一個研究計畫，研究如何讓病毒與網路害蟲散播更快更難被發現。而Cholera Worm(霍亂蟲 )與CTX Phage病毒就是這個組織的成員GriYo所製作出來。此作者寫的病毒還有Cri-Cri、Sucksexee、Gollum、Anti-Eta、Marburg、Hantavirus、Parvovirus等，其中Marburg病毒也是目前流行的病毒之一，發作時會出現一堆XX錯誤訊息在電腦上。

Cholera Worm(霍亂蟲)是類似ExploreZIP(探險蟲)，信件內容只有一個':)'微笑符號，再透過E-mail附帶檔SETUP.EXE的執行來感染，此害蟲會先出現一個錯誤訊息如下：

然後將自己備份到Windows目錄下更名為RPCSRV.EXE，再修改WIN.INI檔
內容的RUN=RPCSRV.EXE，如此電腦每次開機就執行到這行指令，把Cholera Worm(霍亂蟲)常駐在記憶體內。它會尋找 TelNet, mIRC, Netscape, IE 等所屬存放E-mail位址的檔案(*.HTM,*.TXT,*.EML,*.DBX,*.MBX,*.NCH,*.IDX)，然後再利用害蟲程式內的發信功能，將SETUP.EXE透過信件傳給所有的人。因為此害蟲程式已有內建發信功能，所以不再像以前的害蟲必需要有Outlook Express或Microsoft Outlook等信件軟體才能運作，所以大大提高了散播病毒的機動性。

Cholera Worm(霍亂蟲)除了偷發信件出去外，還會產生CTX Phage PE型病毒，此病毒會在被感染後的六個月當天同一個小時內發作(例如感染日子是1999/9/10下午四點，發作日子則是2000/3/10下午四點)，發作時會將電腦的畫面變色：

此病毒也有內藏訊息：
CTX Phage Virus Bio Coded by GriYo / 29A Disclaimer:

This software has been designed for research
purposes only. The author is not responsible for
any problems caused due to improper or illegal usage
of it

金帥資訊病毒危機中心表示目前會利用E-mail偷發信件功能的害蟲有Happy99、Pretty Park、Melissa、PaPa、ExploreZIP、主播問卷等，因此也可看出現在E-mail的高危險性。而層出不窮的PE型病毒，若沒有能夠提早預防的防毒軟體，將會使病毒更加猖獗，因此金帥資訊研發的病毒檢驗室(ZAV LAB)即可以順利的在不改版的情形下將CTX Phage病毒加以攔截，提早發現到病毒而加以預防。如下圖：

如何判斷自己是否已被感染：

使用者若要檢查是否已被害蟲常駐，可以看Windows目錄下是否有RPCSRV.EXE檔案。

如何自行將Cholera Worm(霍亂蟲)清除：

請依照下列的步驟：

步驟一：
先將 WIN.INI 內的執行指令殺掉。如下：
Run=C:\WINDOWS\RPCSRV.EXE

步驟二：
重新開機。(如此Cholera Worm(霍亂蟲)就不會再常駐在記憶體裡了。)

步驟三：
將 Windows目錄下的RPCSRV.EXE檔案殺掉。

防解毒方案：

經證實ZLOCK可成功的攔截此病毒，金帥資訊 (www.ggreat.com.tw) 與金帥資訊Y2K專業網（www.y2000.com.tw）同步在WWW網站上提供『解毒程式』。