Varnostna obvestila / 16. 11. 1999

SI-CERT 99-03 / PrettyPark črv

Med slovenskimi uporabniki se je v pričel širiti črv PrettyPark (delovanje je podobno, kot pri črvu Happy99). Črv se širi kot pripeta datoteka PrettyPark.exe po elektronski pošti. Ko ga zaženete, se bo poskusil vsakih 30 minut poslati na e-mail naslove, ki jih imate zapisane v beležnici ("Address Book"). Poskusil se bo tudi priklopiti na IRC strežnik in preko določenega IRC kanala bo lahko avtor (ali pa pošiljatelj) črva pridobil informacije o vašem računalniku (nastavitve računalnika in posameznih programov). Na ta način lahko pošiljatelj črva pridobi vaše uporabniško ime in geslo, ki ju uporabljate za dostop do omrežja!

Ukrepanje

Če ste po elektronski pošti prejeli pismo s pripono PrettyPark.exe, sporočilo izbrišite.

Če je vseeno prišlo do okužbe vašega računalnika, lahko črva odstranite z uporabo protivirusnih programov. Črva lahko odstranite tudi ročno z naslednjimi koraki (če niste vajeni uporabe programa REGEDIT, raje odstranite črva s protivirusnim programom):

Zaženite REGEDIT (Start->Run/Zaženi, vpišite "regedit.exe" in kliknite OK).
Poiščite ključ HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand – vrednost tega ključa je po okužbi s črvom enaka FILES32.VXD "%1" /%*
Spremenite vrednost tega ključa (kliknete z desno tipko miške na vrednost ključa v desnem delu okna) na "%1" %*
Izbrišite datoteko WINDOWSSYSTEMFILES32.VXD
Izbrišite datoteko PrettyPark.exe
Ponovno zaženite svoj računalnik (reboot).

POZOR! Če izbrišete datoteko FILES32.VXD (korak 4) še preden spremenite vrednost zoraj navedenega ključa v registru (korak 3), vaš računalnik ne mogel več zaganjati programov!

Zaključek

Vsem uporabnikom svetujemo, naj bodo izredno pazljivi pri obravnavi pripon ("attachment"), ki jih prejmejo preko elektronske pošte. Vse več je namreč virusov, trojanskih konjev (SI-CERT 98-01, 98-02, 99-02) in črvov (SI-CERT 99-01), ki se na ta način širijo preko interneta. Z zaganjanjem pripon omogočite programom, ki so tako priloženi, dostop do vseh podatkov in funkcij vašega računalnika.

Močno priporočamo tudi uporabo protivirusnih programov, ki imajo možnost dopolnjevanja spiska virusov, trojanskih konjev in črvov preko interneta.

Reference

Symantec Antivirus Center – PrettyPark.Worm F-Secure Anti-Virus novice (v slovenščini)

Preberite tudi

Varnostna obvestila / 7. 3. 2025

SI-CERT 2025-03 / Več VMware ranljivosti

Izraba verige treh ranljivosti napadalcem omogoča prehod iz virtualnega sistema v gostiteljski sistem (t.i. VM Escape). Po podatkih proizvajalca naj bi se ranljivosti že izrabljale v posameznih napadih.

Več

Varnostna obvestila / 17. 2. 2025

SI-CERT 2025-02 / Okužbe s kombinacijo tipk v lažnih CAPTCHA preverjanjih

Zlorabljena spletna stran zahteva izpolnitev lažnega CAPTCHA obrazca prek kombinacije na tipkovnici Win + R, Ctrl + V in Enter. V primeru izvedbe teh pritiskov na tipkovnici, pride do okužbe računalnika

Več

Varnostna obvestila / 16. 1. 2025

SI-CERT 2025-01 / Prevzemi in kreiranje Telegram računov brez vednosti uporabnikov telefonskih številk

Že nekaj mesecev obravnavamo primere ustvarjanja uporabniških računov na platformi Telegram s slovenskimi telefonskimi številkami, pri čemer računov niso kreirali uporabniki teh številk. Na podoben način prihaja do prevzema obstoječih Telegram računov, ki niso zaščiteni z dodatnim geslom. Trenutno zbrane informacije kažejo, da ne gre za ciljane napade.

Več