Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Email-Worm.Win32.Merond.a

Robak ten rozprzestrzenia się jako załącznik zainfekowanych e-maili oraz za pośrednictwem sieci wymiany plików i nośników wymiennych. Robak ma postać pliku PE EXE. Rozmiar jego pliku wykonywalnego wynosi od 150KB do 400KB.

Instalacja

Robak kopiuje swój plik wykonywalny do foldera systemu Windows:

%System%javaupd.exe
%System%javaqs.exe

W celu zapewnienia sobie automatycznego uruchamiania wraz z każdym startem systemu robak dodaje odsyłacz do swojego pliku wykonywalnego do rejestru systemowego:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Kaspersky Email Security" = "%System%javaupd.exe"
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
"Java update" = "%System%javaqs.exe"
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Java update" = "%System%javaqs.exe"
[HKLMSOFTWAREMicrosoftActive SetupInstalled Components{1A2K5H58-65CP-B7PP-F600-
3023OJX71M20}]
"StubPath" = "%System%javaqs.exe"

Robak dodaje również swój plik wykonywalny do listy zaufanych aplikacji zapory sieciowej systemu Windows

Rozprzestrzenianie za pośrednictwem poczty elektronicznej

Robak przechwytuje adresy e-mail z plików o następujących rozszerzeniach:

txt
htm
shtl
php
asp
dbx
dbh
wab

Przechwytuje również adresy z książki adresowej na zaatakowanym komputerze.

W celu wysłania wiadomości robak próbuje ustanowić bezpośrednie połączenie z serwerami SMTP. Wiadomości nie są wysyłane na adresy zawierające którykolwiek z poniższych ciągów:

admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
Security
accoun
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
berkeley
math
mit.e
gnu
fsf.
ibm.com
debian
kernel
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
sun.com
isi.e
isc.o
secur
acketst
pgp
apache
gimp
tanford.e
utgers.ed
mozilla
firefox
suse
redhat
sourceforge
slashdot
avp
syman
panda
avira
f-secure
sopho
www.ca.com
prevx
drweb
bitdefender
clamav
eset.com
ikarus
mcafee
kaspersky
virusbuster
icrosof
msn.
borlan
inpris
lavasoft
jgsoft
ghisler.com
wireshark
acdnet.com
acdsystems.com
acd-group
bpsoft.com
buyrar.com
bluewin.ch
quebecor.com
alcatel-lucent.com
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
messagelabs
honeynet
honeypot
idefense
qualys
spm
spam
www
abuse
.co

Wysyłane wiadomości wyglądają tak:

Archiwum zip zawiera plik o nazwie "ikea", który będzie miał jedno z poniższych rozszerzeń:

.zip
.rar
.cab
.txt
.reg
.msi
.htm
.html
.bat
.cmd
.pif
.scr
.mov
.mp3
.wav

Zawiera również rozszerzenie .exe po pierwszym rozszerzeniu.

Rozprzestrzenianie za pośrednictwem sieci P2P

Robak kopiuje swój plik wykonywalny z jedną z poniższych nazw:

K-Lite codec pack 4.0 gold.exe
Youtube Music Downloader 1.0.exe
Windows 2008 Enterprise Server VMWare Virtual Machine.exe
Password Cracker.exe
Adobe Acrobat Reader keygen.exe
Adobe Photoshop CS4 crack.exe
VmWare keygen.exe
WinRAR v3.x keygen RaZoR.exe
TCN ISO cable modem hacking tools.exe
TCN ISO SigmaX2 firmware.bin.exe
Red Alert 3 keygen and trainer.exe
Ad-aware 2008.exe
BitDefender AntiVirus 2009 Keygen.exe
Norton Anti-Virus 2009 Enterprise Crack.exe
Ultimate ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin, Greensleves).exe
Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck My Back Like My Pussy And My 
Crack,Mario - Let Me Love You,R. Kelly - The Worlds Greatest).exe
Ultimate ring tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P, Jennifer Lopez Feat. Ll Cool J - 
All I Have, 50 Cent - 21 Question).exe
Acker DVD Ripper 2009.exe
LimeWire Pro v4.18.3.exe
Download Accelerator Plus v8.7.5.exe
Opera 10 cracked.exe
Internet Download Manager V5.exe
Myspace theme collection.exe
Nero 8 Ultra Edition 8.0.3.0 Full Retail.exe
Motorola, nokia, ericsson mobil phone tools.exe
Smart Draw 2008 keygen.exe
Microsoft Visual Studio 2008 KeyGen.exe
Absolute Video Converter 6.2.exe
Daemon Tools Pro 4.11.exe
Download Boost 2.0.exe
Silkroad Online guides and wallpapers.exe
Alcohol 120 v1.9.7.exe
CleanMyPC Registry Cleaner v6.02.exe
Super Utilities Pro 2009 11.0.exe
Power ISO v4.2 + keygen axxo.exe
G-Force Platinum v3.7.5.exe
Divx Pro 6.8.0.19 + keymaker.exe
Perfect keylogger family edition with crack.exe
Ultimate xxx password generator 2009.exe
Google Earth Pro 4.2. with Maps and crack.exe
xbox360 flashing tools and guide including bricked drive fix.exe
Sophos antivirus updater bypass.exe
Half life 3 preview 10 minutes gameplay video.exe
Winamp.Pro.v6.53.PowerPack.Portable [XmaS edition].exe
FOOTBALL MANAGER 2009.exe
Wow WoLTk keygen generator-sfx.exe
Joannas Horde Leveling Guide TBC Woltk.exe
Tuneup Ultilities 2008.exe
Kaspersky Internet Security 2009 keygen.exe
Windows XP PRO Corp SP3 valid-key generator.exe

do folderów współdzielonych następujących klientów P2P:

grokster
emule
morpheus
limewire
tesla
winmx
DC++

Rozprzestrzenianie za pośrenictwem nośników wymiennych

Robak kopiuje swój plik wykonywalny na nośniki wymienne w następujący sposób:


<X>:
edmond.exe 

X jest nazwą dysku wymiennego

Oprócz swojego pliku wykonywalnego robak umieszcza również poniższy plik w katalogu głównym dysku:

&ls;X&gr;:autorun.inf

Plik ten będzie uruchamiał plik wykonywalny robaka za każdym razem, gdy będzie wykorzystywany Explorer do otwierania zainfekowanego dysku.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu szkodliwego programu.
  2. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujące parametry rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
    "Kaspersky Email Security" = "%System%javaupd.exe"
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
    "Java update" = "%System%javaqs.exe"
    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
    "Java update" = "%System%javaqs.exe"
    [HKLMSOFTWAREMicrosoftActive SetupInstalled Components{1A2K5H58-65CP-B7PP-F600-
    3023OJX71M20}]
    "StubPath" = "%System%javaqs.exe"

  4. Usun następujące pliki:
    %System%javaupd.exe
    %System%javaqs.exe
    
  5. Usuń poniższe pliki z wszystkich nośników wymiennych:
    <X>:autorun.inf
    <X>:
    edmond.exe 
    

    X jest nazwą dysku wymiennego

  6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).