Email-Worm.Win32.Merond.a
Robak kopiuje sw贸j plik wykonywalny do foldera systemu Windows:
%System%javaupd.exe %System%javaqs.exe
W celu zapewnienia sobie automatycznego uruchamiania wraz z ka偶dym startem systemu robak dodaje odsy艂acz do swojego pliku wykonywalnego do rejestru systemowego:
"Kaspersky Email Security" = "%System%javaupd.exe"
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
"Java update" = "%System%javaqs.exe"
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Java update" = "%System%javaqs.exe"
[HKLMSOFTWAREMicrosoftActive SetupInstalled Components{1A2K5H58-65CP-B7PP-F600-
3023OJX71M20}]
"StubPath" = "%System%javaqs.exe"
Robak dodaje r贸wnie偶 sw贸j plik wykonywalny do listy zaufanych aplikacji zapory sieciowej systemu Windows
Robak przechwytuje adresy e-mail z plik贸w o nast臋puj膮cych rozszerzeniach:
txt htm shtl php asp dbx dbh wab
Przechwytuje r贸wnie偶 adresy z ksi膮偶ki adresowej na zaatakowanym komputerze.
W celu wys艂ania wiadomo艣ci robak pr贸buje ustanowi膰 bezpo艣rednie po艂膮czenie z serwerami SMTP. Wiadomo艣ci nie s膮 wysy艂ane na adresy zawieraj膮ce kt贸rykolwiek z poni偶szych ci膮g贸w:
admin icrosoft support ntivi unix bsd linux listserv certific Security accoun root info samples postmaster webmaster noone nobody nothing anyone someone your you me bugs rating site contact soft no somebody privacy service help not submit feste ca gold-certs the.bat page berkeley math mit.e gnu fsf. ibm.com debian kernel fido usenet iana ietf rfc-ed sendmail arin. sun.com isi.e isc.o secur acketst pgp apache gimp tanford.e utgers.ed mozilla firefox suse redhat sourceforge slashdot avp syman panda avira f-secure sopho www.ca.com prevx drweb bitdefender clamav eset.com ikarus mcafee kaspersky virusbuster icrosof msn. borlan inpris lavasoft jgsoft ghisler.com wireshark acdnet.com acdsystems.com acd-group bpsoft.com buyrar.com bluewin.ch quebecor.com alcatel-lucent.com example mydomai nodomai ruslis .gov gov. .mil messagelabs honeynet honeypot idefense qualys spm spam www abuse .co
Wysy艂ane wiadomo艣ci wygl膮daj膮 tak:
Archiwum zip zawiera plik o nazwie "ikea", kt贸ry b臋dzie mia艂 jedno z poni偶szych rozszerze艅:
.zip .rar .cab .txt .reg .msi .htm .html .bat .cmd .pif .scr .mov .mp3 .wav
Zawiera r贸wnie偶 rozszerzenie .exe po pierwszym rozszerzeniu.
Robak kopiuje sw贸j plik wykonywalny z jedn膮 z poni偶szych nazw:
K-Lite codec pack 4.0 gold.exe Youtube Music Downloader 1.0.exe Windows 2008 Enterprise Server VMWare Virtual Machine.exe Password Cracker.exe Adobe Acrobat Reader keygen.exe Adobe Photoshop CS4 crack.exe VmWare keygen.exe WinRAR v3.x keygen RaZoR.exe TCN ISO cable modem hacking tools.exe TCN ISO SigmaX2 firmware.bin.exe Red Alert 3 keygen and trainer.exe Ad-aware 2008.exe BitDefender AntiVirus 2009 Keygen.exe Norton Anti-Virus 2009 Enterprise Crack.exe Ultimate ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin, Greensleves).exe Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck My Back Like My Pussy And My Crack,Mario - Let Me Love You,R. Kelly - The Worlds Greatest).exe Ultimate ring tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P, Jennifer Lopez Feat. Ll Cool J - All I Have, 50 Cent - 21 Question).exe Acker DVD Ripper 2009.exe LimeWire Pro v4.18.3.exe Download Accelerator Plus v8.7.5.exe Opera 10 cracked.exe Internet Download Manager V5.exe Myspace theme collection.exe Nero 8 Ultra Edition 8.0.3.0 Full Retail.exe Motorola, nokia, ericsson mobil phone tools.exe Smart Draw 2008 keygen.exe Microsoft Visual Studio 2008 KeyGen.exe Absolute Video Converter 6.2.exe Daemon Tools Pro 4.11.exe Download Boost 2.0.exe Silkroad Online guides and wallpapers.exe Alcohol 120 v1.9.7.exe CleanMyPC Registry Cleaner v6.02.exe Super Utilities Pro 2009 11.0.exe Power ISO v4.2 + keygen axxo.exe G-Force Platinum v3.7.5.exe Divx Pro 6.8.0.19 + keymaker.exe Perfect keylogger family edition with crack.exe Ultimate xxx password generator 2009.exe Google Earth Pro 4.2. with Maps and crack.exe xbox360 flashing tools and guide including bricked drive fix.exe Sophos antivirus updater bypass.exe Half life 3 preview 10 minutes gameplay video.exe Winamp.Pro.v6.53.PowerPack.Portable [XmaS edition].exe FOOTBALL MANAGER 2009.exe Wow WoLTk keygen generator-sfx.exe Joannas Horde Leveling Guide TBC Woltk.exe Tuneup Ultilities 2008.exe Kaspersky Internet Security 2009 keygen.exe Windows XP PRO Corp SP3 valid-key generator.exe
do folder贸w wsp贸艂dzielonych nast臋puj膮cych klient贸w P2P:
grokster emule morpheus limewire tesla winmx DC++
Robak kopiuje sw贸j plik wykonywalny na no艣niki wymienne w nast臋puj膮cy spos贸b:
<X>: edmond.exe
X jest nazw膮 dysku wymiennego
Opr贸cz swojego pliku wykonywalnego robak umieszcza r贸wnie偶 poni偶szy plik w katalogu g艂贸wnym dysku:
&ls;X&gr;:autorun.inf
Plik ten b臋dzie uruchamia艂 plik wykonywalny robaka za ka偶dym razem, gdy b臋dzie wykorzystywany Explorer do otwierania zainfekowanego dysku.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu.
- Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮ce parametry rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Kaspersky Email Security" = "%System%javaupd.exe"
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
"Java update" = "%System%javaqs.exe"
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Java update" = "%System%javaqs.exe"
[HKLMSOFTWAREMicrosoftActive SetupInstalled Components{1A2K5H58-65CP-B7PP-F600-
3023OJX71M20}]
"StubPath" = "%System%javaqs.exe" - Usun nast臋puj膮ce pliki:
%System%javaupd.exe %System%javaqs.exe
- Usu艅 poni偶sze pliki z wszystkich no艣nik贸w wymiennych:
<X>:autorun.inf <X>: edmond.exe
X jest nazw膮 dysku wymiennego
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).