Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Email-Worm.Win32.Warezov.mo

Ten szkodliwy program jest robakiem. Pierwotnie został masowo rozesłany. Ma postać pliku PE EXE. Komponenty robaka różnią się pod względem rozmiaru od 102KB do 165KB.

Instalacja

Podczas uruchamiania robak wydobywa ze swojego ciała do folderu systemowego następujące pliki:

%System%diagisr.dll
%System%isrprf32.dll
%System%isrprov.exe
%System%117X4sHrH5C.dll

Aby zapewnić sobie automatyczne uruchamianie wraz z restartem systemu, robak dodaje do rejestru systemowego odsyłacz do swojego pliku wykonywalnego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"himem.exe" = "(ścieżka do pliku wykonywalnego robaka) -s"

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs" = "%System%diagisr.dll"

Funkcje szkodnika

Robak wstrzykuje swój komponent, %System%diagisr.dll, do następujących procesów:

iexplore.exe
services.exe
firefox.exe
opera.exe
zlclient.exe
zapro.exe
smc.exe
ccapp.exe
outpost.exe
mpftray.exe

Komponent ten stosuje następnie specjalne procedury dla każdego z procesów w celu uniknięcia oprogramowania bezpieczeństwa. Procedury te różnią się w zależności od procesu, wszystkie jednak opierają się na imitowaniu kliknięcia przez użytkownika przycisku w celu zezwolenia na dostęp do sieci lub zezwolenia na inną podejrzaną aktywność.

Robak próbuje również wyłączyć usługi związane z następującymi programami bezpieczeństwa:

Zone Labs Zone Alarm
Sygate Personal Firewall
Symantec Internet Security
Agnitum Outpost Firewall
Kaspersky Anti-Virus Personal

Główny komponent robaka przechwytuje informacje kontaktowe z książki adresowej programu Microsoft Outlook oraz z listy kontaktów Yahoo Messenger.

Przechwycone dane zostaną umieszczone na jednej ze stron zdalnego szkodliwego użytkownika:

****kerunskdarun.com
****dinkionkderunjsa.com
****linkdeshkina.com
****ionkertunhasderun.com
****ionkdesunjafunhde.com
****tunjinkderunhasdefun.com
****dunkinmdespish.com
****dinjertiona.com
****erunkiondemfunhas.com
****uiceshkin.com
****etionkasde.com
****onlderunjadesunjerpas.com
****sariomdesin.com
****onjderinjdaserinjde.com
****onmdefunshjin.com
****ionkdesunjadewionsa.com
****defunjdesa.com
****defunhsadefuinn.com
****dasetiondegnas.com
****onkdesunjadefinpiomi.com
****onkdaerinjdefunhsa.com
****onkadesunjionkasde.com
****ndefunhasetrionde.com
****jinpiontunyunde.com
****runjionkdefunhasde.com
****suntiondeunwaserun.com
****sunjiokderunjdaserin.com
****sinlinmaspion.com
****funtionkderunhsa.com
****derionjdepisadrin.com
****dnegunhfaxesun.com
****djeinkdadeisna.com
****nsadehungans.com
****esinjertiopasde.com
****duewnahsuewaa.com
****nmdefuhawuinde.com
****kirationdefun.com
****unkionmasderunhas.com
****ionkdrunjdapolinkdun.com
****npasdinkerinjjas.com
****esunjionderunshishu.com

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia oryginalnego procesu szkodnika.
  2. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujący parametr z rejestru systemowego:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "himem.exe" = "(ścieżka do pliku wykonywalnego robaka) -s"

  4. Cofnij następujący parametr klucza rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]
    "AppInit_DLLs" = "%System%diagisr.dll"

    do oryginalnej wartości:

    "AppInit_DLLs" = " "

  5. Usuń wszystkie zainfekowane wiadomości z wszystkich folderów pocztowych.
  6. Uruchom ponownie komputer.
  7. Usuń następujące pliki:
    %System%diagisr.dll
    %System%isrprf32.dll
    %System%isrprov.exe
    %System%117X4sHrH5C.dll
    
  8. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).