Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory Worm.Win32.Agent.iSzkodnik ten jest robakiem. Ma postać pliku PE EXE o rozmiarze 71 168 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 240KB).
Po uruchomieniu robak tworzy następujący folder: %System%ace Po uruchomieniu robak wydobywa ze swojego ciała następujący plik do swojego foldera roboczego: WinTask.exe Plik ten ma rozmiar 65 586 bajtów. Będzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan.Win32.Enfal.d Plik jest następnie uruchamiany w celu wykonania. W celu zapewnienia automatycznego uruchamiania robaka wraz ze startem systemu robak rejestruje swój plik wykonywalny w rejestrze systemowym:
Robak tworzy również następujące wartości klucza rejestru:
Robak poszukuje plików o następujących rozszerzeniach: .rar .pdf .rtf .mdb .txt .xls .ppt .doc na wszystkich partycjach dysków twardych: gdy robak znajdzie pliki o powyższych rozszerzeniach, skopiuje je do %System%ace emp. Następnie wydobywa ze swojego ciała narzędzie do archiwizowania plików: %System%NtApi.exe Wykorzystuje je do archiwizowania zawartości następującego foldera: %System%ace emp Archiwa są zapisywane w następującym folderze: %System%aceudis Zarchiwizowane pliki będą miały rozszerzenie .uda, a nazwy będą pokrywały się z nazwą foldera, w którym zlokalizowane były pierwotnie pliki z tymi rozszerzeniami. Robak kopiuje swój plik wykonywalny jako "Netsvcs.exe" do folderów głównych wszystkich dysków logicznych, przypisując atrybuty "Ukryty" lub "Systemowy" do tego pliku. Robak tworzy również plik o nazwie "autorun.inf" w folderze głównym wszystkich partycji dysku twardego. Gdy partycja zostanie otwarta przy użyciu Windows Explorera, zostanie uruchomiony plik wykonywalny robaka. Robak tworzy również plik o nazwie "thumbs.db" w tym samym folderze co "autorun.inf" i zapisuje do tego pliku swoją konfigurację. Robak tworzy folder o nazwie "System Volume Information" na dyskach przenośnych: System Volume Information i kopiuje zawartość poniższego foldera do tego foldera: %System%aceudis tj. archiwa zawierające dokumenty znalezione na zaatakowanym komputerze. Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
|