CryZip対策,

ウイルス情報ウイルス名リスク度CryZip企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)4717対応定義ファイル
(現在不可欠とされるパブジョン)4717 2006/03/13

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

CryZipは感染マシンで特定のファイルタイプを検索して圧縮し、圧縮ファイルを合格ワード保護するトロイの木馬です。暗号化されたファイルを元に戻す合格ワ―ドを入手するため、メモリが浪費されます。

CryZipは、市販のZIPライブラリを使用して、合格ワード保護されたZIPにファイルを格納します。CryZip本体の平文に記載された以下の合格ワードが使用されます。

“C:\Program Files\Microsoft Visual Studio\VC98″

この文字列はVisual C++で合コンイルされた本職ジェクトに多く見られるため、作者は、誰かが挿入DLLを見つけ、文字列を調べて合格ワードを探し出そうとしても見落としてしまうだろうと考えたのではないかと思われます。

CryZipが反応すると、すべての反応中の過程に自身を挿入し、以下の拡張坊主を使うファイルを検索して圧縮し、圧縮ファイルを合格ワード保護します。その後、オリジナルのファイルを削除します。無料し、「system」、「system32」ディレクトリのファイルは検索対象から除世間されます。

.arh

.asm

.arj

.bas

.cdr

.cgi

.chm

.cpp

.db1

.db2

.dbf

.dbt

.dbx

.doc

.dpr

.dsw

.frm

.frt

.frx

.gtd

.gzip

.jpg

.key

.kwm

.lst

.man

.mdb

.mmf

.old

.p12

.pas

.pak

.pdf

.pgp

.pwl

.pwm

.rar

.rtf

.safe

.tar

.txt

.xls

.xml

.zip

暗号化されたファイルには、「オリジナルのファイル名_CRYPT_.ZIP」という名前が付けられます。

AUTO_ZIP_REPORT.TXTファイルが暗号化されたファイルが格納されるフォルダにドロップされます。AUTO_ZIP_REPORT.TXTには添付ファイルの解読手立てに関する情報とE-Goldアカウントのナンバーが記載されています。このナンバーはCryZipに埋め込まれた書き出したからランダムに選択されます。多くのアカウントを同時に運営することにより、E-Goldがほとんどのアカウントを停止しても、いくつかのアカウントで支払いを浴び取れるようにしています。

OUR E-GOLD ACCOUNT: XXXXXXX


INSTRUCTIONS HOW TO GET YUOR FILES BACK

READ CAREFULLY. IF YOU DO NOT UNDERSTAND, READ AGAIN.


This is automated report generated by auto archiving software.


Your computer catched our software while browsing illigal porn

pages, all your documents, text files, databases was archived

with long enought password.


You can not guess the password for your archived files – password

lenght is more then 10 symbols that makes all password recovery

programs fail to bruteforce it (guess password by trying all

possible combinations).


Do not try to search for a program what encrypted your information – it

is simply do not exists in your hard disk anymore.

If you really care about documents and information in encrypted files

you can pay using electonic currency $300.

Reporting to police about a case will not help you, they do not know

password. Reporting somewhere about our e-gold account will not help

you to restore files. This is your only way to get yours files back.


——————————


How to pay to get your information back.


1. click on this link to open your free e-gold account – the first

screen is the e-gold “terms and conditions” page. You need to

agree to these by clicking on the “I AGREE” button on the bottom

on the page.

2. On the next page is the sign up form:

1. “Account name” – here is where you name your account – tip:

make it easy to remember (as you will be asked for it) and

reasonably short, example, “John s e-gold”, “My Money e-gold”

or perhaps “Felix” (whatever you like, just make it easy for

you to remember it).

2. “User Name” – here just repeat the account name (from 1 above).

3. “Point of Contact” – this is where you put our name, address,

phone number and email address (any email address can be used

here but it is recommended you use your ISP address – not a

free hotmail, etc address).

It is also recommended your also include a fax number

(don t have a fax number? This company offers free fax to email

services). Try and make it as easy as possible for e-gold to contact you.

4. “Passphrase” – this is the most important piece of information

connected to any e-gold account. We can not stress enough how

important it is that your passphrase is kept safe and secure.

5. “Turing Number Entry” – type the 6 numbers you see there into the input

box below.

6. The last step click “Open”


On the next page it will tell you that your e-gold account number has been emai
led to you.

check your email – you can expect to wait up to 5 minutes for your account numb
er

to arrive. If it does not arrive after 5 minutes then that means the email addr
ess

you supplied was incorrect and you will have to open another new account (go th
rough

and repeat what you just did above again).


To buy e-gold to your account please use official exchange services

http://www.me-gold.com/

http://www.goldex.net/

http://usece.com/


or try to search own way with

http://gold-pages.net/e-Gold__1MDC__Pecunix_Wizard_Links/Purchase_E-gold/index.
html

http://www.google.com/search?hl=en%26q=buy+e-gold%26btnG=Google+Search


FINALLY when you bought e-gold you have to transfer $300 to our e-gold account.

In next 24 hours you will recieve $1 back to your account. Transfer details

of this $1 transfer will have a link to software that will automatically

unzip all your files back to normal state.


Next day login to your account https://www.e-gold.com/acct/login.html,

press History and press submit, you will see LINK TO UNZIP-software.


################################################################

Remember you are just $300 away from your files

################################################################

以下の症状が見られる時、このウイルスに感染している割合があります。

ファイルがオリジナルのファイル名_CRYPT_.ZIPという名前で上書きされています。

上記のAUTO_ZIP_REPORT.TXTというテキストファイルが存在します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電坊主メールなどを便秘気味て配布されます。

駆逐手立て■最新のエンジンとウイルス定義ファイルの組み合わせで、検出駆逐してくかっこ悪い。AVERTは、見適応したもしくは安全に見えるファイルアイコンを信用しないことを推奨します。

Windows ME/XPでの駆逐についての補足

,CryZip対策