Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory Email-Worm.Win32.Warezov.moTen szkodliwy program jest robakiem. Pierwotnie został masowo rozesłany. Ma postać pliku PE EXE. Komponenty robaka różnią się pod względem rozmiaru od 102KB do 165KB.
Podczas uruchamiania robak wydobywa ze swojego ciała do folderu systemowego następujące pliki: %System%diagisr.dll %System%isrprf32.dll %System%isrprov.exe %System%117X4sHrH5C.dll Aby zapewnić sobie automatyczne uruchamianie wraz z restartem systemu, robak dodaje do rejestru systemowego odsyłacz do swojego pliku wykonywalnego:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows] Robak wstrzykuje swój komponent, %System%diagisr.dll, do następujących procesów: iexplore.exe services.exe firefox.exe opera.exe zlclient.exe zapro.exe smc.exe ccapp.exe outpost.exe mpftray.exe Komponent ten stosuje następnie specjalne procedury dla każdego z procesów w celu uniknięcia oprogramowania bezpieczeństwa. Procedury te różnią się w zależności od procesu, wszystkie jednak opierają się na imitowaniu kliknięcia przez użytkownika przycisku w celu zezwolenia na dostęp do sieci lub zezwolenia na inną podejrzaną aktywność. Robak próbuje również wyłączyć usługi związane z następującymi programami bezpieczeństwa: Zone Labs Zone Alarm Sygate Personal Firewall Symantec Internet Security Agnitum Outpost Firewall Kaspersky Anti-Virus Personal Główny komponent robaka przechwytuje informacje kontaktowe z książki adresowej programu Microsoft Outlook oraz z listy kontaktów Yahoo Messenger. Przechwycone dane zostaną umieszczone na jednej ze stron zdalnego szkodliwego użytkownika: ****kerunskdarun.com ****dinkionkderunjsa.com ****linkdeshkina.com ****ionkertunhasderun.com ****ionkdesunjafunhde.com ****tunjinkderunhasdefun.com ****dunkinmdespish.com ****dinjertiona.com ****erunkiondemfunhas.com ****uiceshkin.com ****etionkasde.com ****onlderunjadesunjerpas.com ****sariomdesin.com ****onjderinjdaserinjde.com ****onmdefunshjin.com ****ionkdesunjadewionsa.com ****defunjdesa.com ****defunhsadefuinn.com ****dasetiondegnas.com ****onkdesunjadefinpiomi.com ****onkdaerinjdefunhsa.com ****onkadesunjionkasde.com ****ndefunhasetrionde.com ****jinpiontunyunde.com ****runjionkdefunhasde.com ****suntiondeunwaserun.com ****sunjiokderunjdaserin.com ****sinlinmaspion.com ****funtionkderunhsa.com ****derionjdepisadrin.com ****dnegunhfaxesun.com ****djeinkdadeisna.com ****nsadehungans.com ****esinjertiopasde.com ****duewnahsuewaa.com ****nmdefuhawuinde.com ****kirationdefun.com ****unkionmasderunhas.com ****ionkdrunjdapolinkdun.com ****npasdinkerinjjas.com ****esunjionderunshishu.com Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
|