Soubor dmsetup.exe - Trojský kůň převzal prysm z cizích zdrojů 5/26/98 později upravil Jolo 7/1/98 CO JE DMSETUP.EXE? Ve skutečnosti je dmsetup.exe (spustitelný) soubor (pokud jste ovšem dostatečně velcí blázni na to abyste jej spouštěli), který zkopíruje sám sebe na několik míst na vašem hard disku, vytvoří "svůj vlastní" mirc.ini a příbuzné skripty a přidá je do souborového systému, čímž se pojistí proti snadnému vymazání. Tento skript (dokonce!) posílá sám sebe lidem, kteří se přihásí na kanál a způsobí lidem, kteří ho už mají, že quitnou z IRC - jako reakci na určitou sekvenci znaků. Tento soubor napadá minimálně mIRC 5.11 a 5.31 (v době sestavení toho dokumentu poslední verze), takže např. oproti script.ini, upgradování na vyšší verzi není řešení. Pravidlem by mělo být, že bychom neměli NIKDY přijímat nebo spouštět žádné programy které neznáme. Považujte dmsetup.exe za skutečný a zákeřný VIRUS. Tohoto viru se lze zbavit v zásadě dvěma způsoby, záleží na tom, zda máte mIRC nainstalován na disku C nebo ne. Vysoce vám doporučujeme řídit se následujícími pokyny, protože tak získáte mnohem vyšší jistotu, že jste se viru opravdu nadobro zbavili, navíc zde můžete najít nejaktuálnější opravné soubory. Pokud vám přesto ani toto všechno nepomůže, nebo pokud vám naše rady připadají jen jako podivná počítačová hatmaťilka a nemátwe po ruce přítele, který by vám pomohl, zkuste si stáhnout tento soubor s příkazy, který pak spustíte a který by měl všechno potřebné udělat za vás. Ale pamatujte, že tuto alternativu byste měli použít až když už opravdu nebude zbytí. --------------------------------------------------------------------------- POKUD MÁTE MIRC NAINSTALOVÁN NA DISKU C: ... Jinými slovy pokud máte adresář c:\mirc\ Při prvním spuštění dmsetup.exe provádí tyto činnosti: 1. Zkopíruje sám sebe na c:\ c:\mirc c:\windows c:\program files ale už NIKAM JINAM. 2. Poté vytvoří soubor c:\configg.sys (z důvodu vysvětleného níže). 3. Pak přidá řádek dmsetup do souboru autoexec.bat (což lze zkontrolovat v jakémkoli vhodném (čistém ascii) textovém editoru). 4. Zkopíruje mirc.ini do backup0412.ini 5. Vytvoří svůj vlastní mirc.ini a mircrem.ini 6. Vypíše error typu 0 (takže si můžete myslet, že stahování je přerušeno). Při druhém, třetím, čtvrtém ... atd. spuštění je dmsetup.exe spuštěn... a provádí všechny výše uvedené činnosti úplně stejně mimo body 2 a 3 kvůli přítomnosti souboru configg.sys (není jisté, zda jeho obsah je v pořádku) Doporučené kroky: 1. Odloadujte mircrem.ini 2. Otevřete c:\autoexec.bat (např. notepadem) a odstraňte řádek s dmsetupem, uložte a ukončete editaci. 3. Vymažte následující soubory: c:\dmsetup.exe c:\configg.sys c:\mirc\dmsetup.exe c:\mirc\mircrem.ini c:\mirc\backup0412.ini c:\windows\dmsetup.exe c:\progra~1\dmsetup.exe Možná jste si všimnuli, že v tomto seznamu nefiguruje soubor mirc.ini, protože jakmile je vymazán mircrem.ini, mirc kompletně znovuzaloží standardní mirc.ini, ale samozřejmě, pokud se na to nechcete spoléhat, můžete ho vymazat také. ---------------------------------------------------------------------------------------- POKUD NEMÁTE MIRC INSTALOVÁN NA DISKU C: ... Útok provádí kroky 1 až 3 uvedené výše, pak vrací error typu 1. Je tu přesto malá odlišnost v bodě 1 - protože adresář c:\mirc neexistuje, dmsetup se zkopíruje do souboru mirc (bez přípony) do kořenového adresáře disku. Protože v tomto případě není změněn soubor mirc.ini, nikdo se tak snadno nedozví že byl infikován pokud si nezkontrolují jedinečnost příslušných souborů nebo dokud nepřesunou mIRC na disk C:. Doporučený postup k "odvirování": 1. Otevřete c:\autoexec.bat notepadem a odstraňte řádek s dmsetupem - uložte a ukončete 2. Smažte následující soubory: c:\dmsetup.exe c:\configg.sys c:\mirc c:\windows\dmsetup.exe c:\progra~1\dmsetup.exe ---------------------------------------------------------------------------------------- Tímto byste se měli definitivně zbavit dmsetupu. Přesto si prosím přečtěte další helpy na adrese: http://www.irchelp.org/irchelp/security/ abyste se skutečně ujistili že nejste infikován dalšími podobnými trojskými koňmi, a aby podobné případy v budoucnu už nenastaly.