Email-Worm.Win32.Merond.a

Robak ten rozprzestrzenia si臋 jako za艂膮cznik zainfekowanych e-maili oraz za po艣rednictwem sieci wymiany plik贸w i no艣nik贸w wymiennych. Robak ma posta膰 pliku PE EXE. Rozmiar jego pliku wykonywalnego wynosi od 150KB do 400KB.

Instalacja

Robak kopiuje sw贸j plik wykonywalny do foldera systemu Windows:

%System%javaupd.exe
%System%javaqs.exe

W celu zapewnienia sobie automatycznego uruchamiania wraz z ka偶dym startem systemu robak dodaje odsy艂acz do swojego pliku wykonywalnego do rejestru systemowego:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Kaspersky Email Security" = "%System%javaupd.exe"
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
"Java update" = "%System%javaqs.exe"
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Java update" = "%System%javaqs.exe"
[HKLMSOFTWAREMicrosoftActive SetupInstalled Components{1A2K5H58-65CP-B7PP-F600-
3023OJX71M20}]
"StubPath" = "%System%javaqs.exe"

Robak dodaje r贸wnie偶 sw贸j plik wykonywalny do listy zaufanych aplikacji zapory sieciowej systemu Windows

Rozprzestrzenianie za po艣rednictwem poczty elektronicznej

Robak przechwytuje adresy e-mail z plik贸w o nast臋puj膮cych rozszerzeniach:

txt
htm
shtl
php
asp
dbx
dbh
wab

Przechwytuje r贸wnie偶 adresy z ksi膮偶ki adresowej na zaatakowanym komputerze.

W celu wys艂ania wiadomo艣ci robak pr贸buje ustanowi膰 bezpo艣rednie po艂膮czenie z serwerami SMTP. Wiadomo艣ci nie s膮 wysy艂ane na adresy zawieraj膮ce kt贸rykolwiek z poni偶szych ci膮g贸w:

admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
Security
accoun
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
berkeley
math
mit.e
gnu
fsf.
ibm.com
debian
kernel
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
sun.com
isi.e
isc.o
secur
acketst
pgp
apache
gimp
tanford.e
utgers.ed
mozilla
firefox
suse
redhat
sourceforge
slashdot
avp
syman
panda
avira
f-secure
sopho
www.ca.com
prevx
drweb
bitdefender
clamav
eset.com
ikarus
mcafee
kaspersky
virusbuster
icrosof
msn.
borlan
inpris
lavasoft
jgsoft
ghisler.com
wireshark
acdnet.com
acdsystems.com
acd-group
bpsoft.com
buyrar.com
bluewin.ch
quebecor.com
alcatel-lucent.com
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
messagelabs
honeynet
honeypot
idefense
qualys
spm
spam
www
abuse
.co

Wysy艂ane wiadomo艣ci wygl膮daj膮 tak:

Archiwum zip zawiera plik o nazwie "ikea", kt贸ry b臋dzie mia艂 jedno z poni偶szych rozszerze艅:

.zip
.rar
.cab
.txt
.reg
.msi
.htm
.html
.bat
.cmd
.pif
.scr
.mov
.mp3
.wav

Zawiera r贸wnie偶 rozszerzenie .exe po pierwszym rozszerzeniu.

Rozprzestrzenianie za po艣rednictwem sieci P2P

Robak kopiuje sw贸j plik wykonywalny z jedn膮 z poni偶szych nazw:

K-Lite codec pack 4.0 gold.exe
Youtube Music Downloader 1.0.exe
Windows 2008 Enterprise Server VMWare Virtual Machine.exe
Password Cracker.exe
Adobe Acrobat Reader keygen.exe
Adobe Photoshop CS4 crack.exe
VmWare keygen.exe
WinRAR v3.x keygen RaZoR.exe
TCN ISO cable modem hacking tools.exe
TCN ISO SigmaX2 firmware.bin.exe
Red Alert 3 keygen and trainer.exe
Ad-aware 2008.exe
BitDefender AntiVirus 2009 Keygen.exe
Norton Anti-Virus 2009 Enterprise Crack.exe
Ultimate ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin, Greensleves).exe
Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck My Back Like My Pussy And My 
Crack,Mario - Let Me Love You,R. Kelly - The Worlds Greatest).exe
Ultimate ring tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P, Jennifer Lopez Feat. Ll Cool J - 
All I Have, 50 Cent - 21 Question).exe
Acker DVD Ripper 2009.exe
LimeWire Pro v4.18.3.exe
Download Accelerator Plus v8.7.5.exe
Opera 10 cracked.exe
Internet Download Manager V5.exe
Myspace theme collection.exe
Nero 8 Ultra Edition 8.0.3.0 Full Retail.exe
Motorola, nokia, ericsson mobil phone tools.exe
Smart Draw 2008 keygen.exe
Microsoft Visual Studio 2008 KeyGen.exe
Absolute Video Converter 6.2.exe
Daemon Tools Pro 4.11.exe
Download Boost 2.0.exe
Silkroad Online guides and wallpapers.exe
Alcohol 120 v1.9.7.exe
CleanMyPC Registry Cleaner v6.02.exe
Super Utilities Pro 2009 11.0.exe
Power ISO v4.2 + keygen axxo.exe
G-Force Platinum v3.7.5.exe
Divx Pro 6.8.0.19 + keymaker.exe
Perfect keylogger family edition with crack.exe
Ultimate xxx password generator 2009.exe
Google Earth Pro 4.2. with Maps and crack.exe
xbox360 flashing tools and guide including bricked drive fix.exe
Sophos antivirus updater bypass.exe
Half life 3 preview 10 minutes gameplay video.exe
Winamp.Pro.v6.53.PowerPack.Portable [XmaS edition].exe
FOOTBALL MANAGER 2009.exe
Wow WoLTk keygen generator-sfx.exe
Joannas Horde Leveling Guide TBC Woltk.exe
Tuneup Ultilities 2008.exe
Kaspersky Internet Security 2009 keygen.exe
Windows XP PRO Corp SP3 valid-key generator.exe

do folder贸w wsp贸艂dzielonych nast臋puj膮cych klient贸w P2P:

grokster
emule
morpheus
limewire
tesla
winmx
DC++

Rozprzestrzenianie za po艣renictwem no艣nik贸w wymiennych

Robak kopiuje sw贸j plik wykonywalny na no艣niki wymienne w nast臋puj膮cy spos贸b:


<X>:
edmond.exe 

X jest nazw膮 dysku wymiennego

Opr贸cz swojego pliku wykonywalnego robak umieszcza r贸wnie偶 poni偶szy plik w katalogu g艂贸wnym dysku:

&ls;X&gr;:autorun.inf

Plik ten b臋dzie uruchamia艂 plik wykonywalny robaka za ka偶dym razem, gdy b臋dzie wykorzystywany Explorer do otwierania zainfekowanego dysku.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu.
  2. Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮ce parametry rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
    "Kaspersky Email Security" = "%System%javaupd.exe"
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
    "Java update" = "%System%javaqs.exe"
    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
    "Java update" = "%System%javaqs.exe"
    [HKLMSOFTWAREMicrosoftActive SetupInstalled Components{1A2K5H58-65CP-B7PP-F600-
    3023OJX71M20}]
    "StubPath" = "%System%javaqs.exe"

  4. Usun nast臋puj膮ce pliki:
    %System%javaupd.exe
    %System%javaqs.exe
    
  5. Usu艅 poni偶sze pliki z wszystkich no艣nik贸w wymiennych:
    <X>:autorun.inf
    <X>:
    edmond.exe 
    

    X jest nazw膮 dysku wymiennego

  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).