8 czerwca 2001

Trojan.Win32.Tepille - blokuje system operacyjny Windows

Jest to koń trojański blokujący dostęp do komputera. Po uruchomieniu kopiuje się do katalogu systemowego Windows z nazwą CLEARUP.EXE i umieszcza tą kopię w sekcji auto-run rejestru systemowego.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TePille = %SystemDir%\clearup.EXE

Następnie wirus zmienia nazwy dwóch plików systemowych w celu utrudnienia leczenia systemu:

  • nazwa pliku REGEDIT.EXE zmieniana jest na REGEDIT.BAK;
  • nazwa pliku MSCONFIG.EXE zmieniana jest na MSCONFIG.BAK.

Po wykonaniu tych operacji trojan wyświetla okno z fałszywym komunikatem i kończy swoje działanie:

Error
Imposible cargar OCX mscommondlg.ocx, la aplicacion finalizara

Podczas następnego uruchamiania Windows, trojan blokuje system i wyświetla obrazek przedstawiający oczy oraz usta. Klawiatura i mysz są zablokowane. Zamknięcie systmu może być wykonane tylko poprzez "twardy reset" (wciśnięcie przycisku reset na obudowie komputera). Jednak podczas kolejnego uruchomieniu wirus uaktywnia się ponownie.

Aby pozbyć się szkodnika należy uruchomić system w trybie awaryjnym i wykonać poniższe czynności:

  • usunąć plik trojana z systemowego katalogu Windows;
  • przywrócić poprawne nazwy plikom REGEDIT oraz MSCONFIG (nadając im rozszerzenia EXE);
  • uruchomić Edytor rejestru (REGEDIT.EXE) i usunąć wpis robaka (klucz "Run=".