סוס טרויאני חדש תוקף גולשים בישראל

תוכנה זדונית תוקפת מחשבים של גולשים רבים בישראל מאז אתמול (ב'). על פי דיווחים ממקורות שונים, שזורמים למערכת ביומיים האחרונים, הסוס הטרויאני משתלט על מחשבים של משתמשים שהורידו אותו. עם הפעלת התוכנה, הסוס הטרויאני משנה את הגדרות החייגן במחשבים של גולשים המחוברים לרשת באמצעות אינטרנט מהיר – בכבלים או ב-ADSL.

לאחר שינוי הגדרות החייגן המשתמש אינו יכול עוד להתחבר לרשת ומוצגת על המסך הודעת שגיאה. דן ריבק, מנהל התמיכה בנטוויז'ן, מדווח על אלפי לקוחות הסובלים מהבעיה. גם מנויים רבים של ספקי אינטרנט אחרים מתלוננים על בעיה דומה מאז אתמול. על פי הערכות זהירות, עשרות אלפי גולשים בישראל נדבקו בסוס הטרויאני מאז אתמול.

כיצד פועלת התוכנה?

על פי המידע שהצטבר עד כה, מתברר כי התוכנה הזדונית פוגעת בכל הגרסאות של Windows, ומשנה הגדרות בחייגן כמו שם משתמש, העדפת האבטחה – מ'רגיל' ל'מתקדם' או ההפך, משנה את כתובת השרת המארח ולעיתים גם את הגדרות החיבור המקומי. כתוצאה מכך, המשתמשים מקבלים הודעת שגיאה מספר 734, 769, 789 או 800. ככל הנראה, הווירוס מופץ באמצעות תוכנת שיתוף הקבצים "קאזה" ופוגע במשתמשים שהורידו את הקובץ והפעילו אותו.

מה עושים?

פתרון זמני לבעיה הוא למחוק את כל החייגנים המוגדרים במחשבים ולהגדיר חייגן חדש. עם זאת, לאחר ההפעלה מחדש של המחשב שוב ישתנו הגדרות החייגן על ידי הסוס הטרויאני.

בבזק בינלאומי מציעים לפעול על פי סדרת הפעולות הבאות כדי לנטרל את הבעיה באופן זמני:

1. לחצו על כפתור "התחל" (Start) ואז על "הפעלה" (Run).
   
   
2. בשדה הטקסט רשמו msconfig ולחצו על "אישור" (OK).
   
   
3. בחלון שנפתח, לחצו על הלשונית "הפעלה" (Startup).
   
   
4.  ברשימה שלפניכם, מצאו את hot_tarts_il והסירו את הסימון שלידו ולחצו על כפתור "אישור" (OK).
   
   
5. הפעילו מחדש את המחשב והתחברו מחדש אל האינטרנט באמצעות החייגן החדש שיצרתם.
   

פתרון קבע

לצורך פתרון יעיל יותר, מציע ריבק לפעול על פי הצעדים הבאים:

• הקישו בו-זמנית על ctrl+alt+del כדי להציג את מנהל המשימות ולחצו על הלשונית "תהליכים" (processes) כדי לצפות בתהליכים הפועלים במחשב.
  

• אם אחד או יותר מהתהליכים הבאים פועלים במחשב שלכם, גם אתם נדבקתם בתוכנה הזדונית, שעשויה לכלול יותר מסוס טרויאני אחד. יש לציין כי פעולה על פי ההוראות הבאות מיועדת למשתמשים מתקדמים בלבד ומתבצעת באחריות המשתמשים בלבד:
  

1. chksp2.exe. יש למחוק את הקובץ בשם זה מהנתיב c:/windows/prefetch או c:/Windows/System32. לאחר המחיקה יש להפעיל מחדש את המחשב וליצור חייגן חדש. הבעייה אמורה להפתר לאחר ביצוע פעולות אלה.
   
   
2. sp2ctr.exe או DLUCA-M. יש למחוק תוכנה בשם זה מחלון "הוספה/הסרה של תוכניות" הנגיש באמצעות לוח הבקרה. עם ההפעלה מחדש של המחשב ויצירת חייגן חדש אמורה הבעייה להיפתר. 
   
   
3. glwgmgeb.exe. יש למחוק את הקובץ מתיקייה c:/Windows/System32 בתיקיית Windows וליצור חייגן חדש. פעולה זו עשויה לפתור את הבעיה.
   

ריבק מדגיש כי הפתרונות שהוצגו הם ראשוניים ולא ודאיים ויש לקוחות שמחשביהם סובלים מתסמונת דומה אך אינם כוללים את התהליכים האלה.

אם המחשב שלכם סובל מבעיה דומה אך לא מוצאים את התהליכים האלה או שאינכם בעלי ידע מקיף בתחום המחשבים, מוטב להתקשר לספק האינטרנט לקבלת תמיכה. כדי להימנע מהדבקה מומלץ לא לפתוח קבצים ממקור לא ידוע כמו גולשים ברשתות שיתוף קבצים. 

המידע הראשוני התקבל באימייל האדום