Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory Email-Worm.Win32.Merond.aRobak ten rozprzestrzenia się jako załącznik zainfekowanych e-maili oraz za pośrednictwem sieci wymiany plików i nośników wymiennych. Robak ma postać pliku PE EXE. Rozmiar jego pliku wykonywalnego wynosi od 150KB do 400KB.
Robak kopiuje swój plik wykonywalny do foldera systemu Windows: %System%javaupd.exe %System%javaqs.exe W celu zapewnienia sobie automatycznego uruchamiania wraz z każdym startem systemu robak dodaje odsyłacz do swojego pliku wykonywalnego do rejestru systemowego:
Robak dodaje również swój plik wykonywalny do listy zaufanych aplikacji zapory sieciowej systemu Windows Robak przechwytuje adresy e-mail z plików o następujących rozszerzeniach: txt htm shtl php asp dbx dbh wab Przechwytuje również adresy z książki adresowej na zaatakowanym komputerze. W celu wysłania wiadomości robak próbuje ustanowić bezpośrednie połączenie z serwerami SMTP. Wiadomości nie są wysyłane na adresy zawierające którykolwiek z poniższych ciągów: admin icrosoft support ntivi unix bsd linux listserv certific Security accoun root info samples postmaster webmaster noone nobody nothing anyone someone your you me bugs rating site contact soft no somebody privacy service help not submit feste ca gold-certs the.bat page berkeley math mit.e gnu fsf. ibm.com debian kernel fido usenet iana ietf rfc-ed sendmail arin. sun.com isi.e isc.o secur acketst pgp apache gimp tanford.e utgers.ed mozilla firefox suse redhat sourceforge slashdot avp syman panda avira f-secure sopho www.ca.com prevx drweb bitdefender clamav eset.com ikarus mcafee kaspersky virusbuster icrosof msn. borlan inpris lavasoft jgsoft ghisler.com wireshark acdnet.com acdsystems.com acd-group bpsoft.com buyrar.com bluewin.ch quebecor.com alcatel-lucent.com example mydomai nodomai ruslis .gov gov. .mil messagelabs honeynet honeypot idefense qualys spm spam www abuse .co Wysyłane wiadomości wyglądają tak: Archiwum zip zawiera plik o nazwie "ikea", który będzie miał jedno z poniższych rozszerzeń: .zip .rar .cab .txt .reg .msi .htm .html .bat .cmd .pif .scr .mov .mp3 .wav Zawiera również rozszerzenie .exe po pierwszym rozszerzeniu. Robak kopiuje swój plik wykonywalny z jedną z poniższych nazw: K-Lite codec pack 4.0 gold.exe Youtube Music Downloader 1.0.exe Windows 2008 Enterprise Server VMWare Virtual Machine.exe Password Cracker.exe Adobe Acrobat Reader keygen.exe Adobe Photoshop CS4 crack.exe VmWare keygen.exe WinRAR v3.x keygen RaZoR.exe TCN ISO cable modem hacking tools.exe TCN ISO SigmaX2 firmware.bin.exe Red Alert 3 keygen and trainer.exe Ad-aware 2008.exe BitDefender AntiVirus 2009 Keygen.exe Norton Anti-Virus 2009 Enterprise Crack.exe Ultimate ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin, Greensleves).exe Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck My Back Like My Pussy And My Crack,Mario - Let Me Love You,R. Kelly - The Worlds Greatest).exe Ultimate ring tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P, Jennifer Lopez Feat. Ll Cool J - All I Have, 50 Cent - 21 Question).exe Acker DVD Ripper 2009.exe LimeWire Pro v4.18.3.exe Download Accelerator Plus v8.7.5.exe Opera 10 cracked.exe Internet Download Manager V5.exe Myspace theme collection.exe Nero 8 Ultra Edition 8.0.3.0 Full Retail.exe Motorola, nokia, ericsson mobil phone tools.exe Smart Draw 2008 keygen.exe Microsoft Visual Studio 2008 KeyGen.exe Absolute Video Converter 6.2.exe Daemon Tools Pro 4.11.exe Download Boost 2.0.exe Silkroad Online guides and wallpapers.exe Alcohol 120 v1.9.7.exe CleanMyPC Registry Cleaner v6.02.exe Super Utilities Pro 2009 11.0.exe Power ISO v4.2 + keygen axxo.exe G-Force Platinum v3.7.5.exe Divx Pro 6.8.0.19 + keymaker.exe Perfect keylogger family edition with crack.exe Ultimate xxx password generator 2009.exe Google Earth Pro 4.2. with Maps and crack.exe xbox360 flashing tools and guide including bricked drive fix.exe Sophos antivirus updater bypass.exe Half life 3 preview 10 minutes gameplay video.exe Winamp.Pro.v6.53.PowerPack.Portable [XmaS edition].exe FOOTBALL MANAGER 2009.exe Wow WoLTk keygen generator-sfx.exe Joannas Horde Leveling Guide TBC Woltk.exe Tuneup Ultilities 2008.exe Kaspersky Internet Security 2009 keygen.exe Windows XP PRO Corp SP3 valid-key generator.exe do folderów współdzielonych następujących klientów P2P: grokster emule morpheus limewire tesla winmx DC++ Robak kopiuje swój plik wykonywalny na nośniki wymienne w następujący sposób: <X>: edmond.exe X jest nazwą dysku wymiennego Oprócz swojego pliku wykonywalnego robak umieszcza również poniższy plik w katalogu głównym dysku: &ls;X&gr;:autorun.inf Plik ten będzie uruchamiał plik wykonywalny robaka za każdym razem, gdy będzie wykorzystywany Explorer do otwierania zainfekowanego dysku. Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
|