Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Worm.Win32.Agent.i

Szkodnik ten jest robakiem. Ma postać pliku PE EXE o rozmiarze 71 168 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 240KB).

Instalacja

Po uruchomieniu robak tworzy następujący folder:

%System%ace

Po uruchomieniu robak wydobywa ze swojego ciała następujący plik do swojego foldera roboczego:

WinTask.exe

Plik ten ma rozmiar 65 586 bajtów. Będzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan.Win32.Enfal.d

Plik jest następnie uruchamiany w celu wykonania.

W celu zapewnienia automatycznego uruchamiania robaka wraz ze startem systemu robak rejestruje swój plik wykonywalny w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
Shell = "(ścieżka do nazwy pliku wykonywalnego robaka)"

Robak tworzy również następujące wartości klucza rejestru:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
ShowSuperHidden = 0

Funkcje szkodnika

Robak poszukuje plików o następujących rozszerzeniach:

.rar
.pdf
.rtf
.mdb
.txt
.xls
.ppt
.doc

na wszystkich partycjach dysków twardych: gdy robak znajdzie pliki o powyższych rozszerzeniach, skopiuje je do %System%ace emp. Następnie wydobywa ze swojego ciała narzędzie do archiwizowania plików:

%System%NtApi.exe

Wykorzystuje je do archiwizowania zawartości następującego foldera:

%System%ace	emp

Archiwa są zapisywane w następującym folderze:

%System%aceudis

Zarchiwizowane pliki będą miały rozszerzenie .uda, a nazwy będą pokrywały się z nazwą foldera, w którym zlokalizowane były pierwotnie pliki z tymi rozszerzeniami.

Rozprzestrzenianie

Robak kopiuje swój plik wykonywalny jako "Netsvcs.exe" do folderów głównych wszystkich dysków logicznych, przypisując atrybuty "Ukryty" lub "Systemowy" do tego pliku. Robak tworzy również plik o nazwie "autorun.inf" w folderze głównym wszystkich partycji dysku twardego. Gdy partycja zostanie otwarta przy użyciu Windows Explorera, zostanie uruchomiony plik wykonywalny robaka. Robak tworzy również plik o nazwie "thumbs.db" w tym samym folderze co "autorun.inf" i zapisuje do tego pliku swoją konfigurację.

Robak tworzy folder o nazwie "System Volume Information" na dyskach przenośnych:

System Volume Information

i kopiuje zawartość poniższego foldera do tego foldera:

%System%aceudis

tj. archiwa zawierające dokumenty znalezione na zaatakowanym komputerze.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu robaka (może mieć nazwę "Netsvcs.exe").
  2. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).