P2P-Worm.Win32.Surnova.t

Robak ten rozprzestrzenia si臋 za po艣rednictwem sieci wsp贸艂dzielenia plik贸w. Szkodnik rozmna偶a si臋 poprzez tworzenie w艂asnych kopii w publicznie dost臋pnych folderach Kazaa, kt贸re wysy艂a r贸wnie偶 za po艣rednictwem Windows Messenger. Ma posta膰 pliku PE EXE o rozmiarze 45056 bajt贸w.

Instalacja

Po uruchomieniu robak wy艣wietla nast臋puj膮cy komunikat o b艂臋dzie:

Robak kopiuje sw贸j plik wykonywalny do foldera g艂贸wnego systemu Windows z jedn膮 z nast臋puj膮cych nazw:

%WinDir%I-Love-You-Guys!.exe
%WinDir%Look-at-My-Pussy.exe
%WinDir%How-Are-You.exe
%WinDir%YoUMaD.exe
%WinDir%You-Are-WeirD.exe
%WinDir%Blaargh.exe

Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz ze startem systemu, robak dodaje odsy艂acz do swojego pliku wykonywalnego do rejestru systemowego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Buttsnova" = "%WinDir%(nazwa pliku robaka).exe"

Funkcje szkodnika

Robak kopiuje sw贸j plik wykonywalny do nast臋puj膮cego foldera:

%WinDir%Media

z nast臋puj膮cymi nazwami:

Windows XP key generator.exe
Windows XP serial generator.exe
Key generator for all windows XP versions.exe
Warcraft 3 ONLINE key generator.exe
Half-life ONLINE key generator.exe
Quake 4 BETA.exe
Grand theft auto 3 CD1 crack.exe
GTA3 crack.exe
Battle.net key generator (WORKS!!).exe
Warcraft 3 battle.net serial generator.exe
Half-life WON key generator.exe
Star wars episode 2 downloader.exe
Winzip 8.0 + serial.exe
Winrar + crack.exe
Britney spears nude.exe
Macromedia MX key generator (all products).exe
KaZaA media desktop v2.0 UNOFFICIAL.exe
Microsoft key generator, works for ALL microsoft products!!.exe
Microsoft Windows XP crack pack.exe
Hack into any computer!!.exe
DivX codec v6.0.exe
DivX newest version.exe
DivX.exe
DivX pro key generator.exe
Key generator for over 1,000 applications (really!).exe
DivX patch - Increases quality.exe
KaZaA spyware remover.exe
Age of empires 2 crack.exe
Norton antivirus 2002.exe
Macromedia Dreamweaver MX Key Generator.exe
Macromedia Flash MX Key Generator.exe
Microsoft Office XP (english) key generator.exe
Microsoft Office XP.iso.exe
CloneCD + crack.exe
CloneCD all-versions key generator.exe
XBOX emulator (WORKS!!).exe
Gamecube Emulator (WORKS!!).exe
Xbox.info.exe
Spiderman CD 1 of 2.exe
Spiderman CD 2 of 2.exe
Blade 2 [DVD Quality].exe

Robak kopiuje r贸wnie偶 sw贸j plik wykonywalny z nazwami wymienionymi wy偶ej do foldera, do kt贸rego prowadzi nast臋puj膮cy parametr klucza rejestru:

[HKLMSoftwareKazaaLocalContent]
"Dir0"

Robak rozprzestrzenia si臋 r贸wnie偶 poprzez luk臋 w zabezpieczeniach MSN Messenger, kt贸ra umo偶liwia pobranie plik贸w na zaatakowan膮 maszyn臋 bez wiedzy czy zgody u偶ytkownika. W tym celu robak wysy艂a wiadomo艣膰 do wszystkich kontakt贸w MSN. Wraz z kopi膮 robaka wysy艂ana jest jedna z nast臋puj膮cych wiadomo艣ci:

Hehe, check this out :-)
Funny, check it out (h)
COOL! See this :D
COOL! Check this out :)
Hehe, this is fun :-)

Robak tworzy r贸wnie偶 plik o losowo wybieranej nazwie sk艂adaj膮cej si臋 z 11 cyfr z rozszerzeniem .exe w %WinDir%. Plik zawiera nast臋puj膮cy tekst:

W32.Buttsnova
---------------------------------------------------
      'Patch the leaks or the ship will sink'       
---------------------------------------------------

Robak usuwa r贸wnie偶 wszystkie pliki z foldera g艂贸wnego z dysku C:

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu robaka.
  2. Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "Buttsnova" = "%WinDir%(nazwa pliku robaka).exe"

  4. Usu艅 kopie robaka:
    %WinDir%I-Love-You-Guys!.exe
    %WinDir%Look-at-My-Pussy.exe
    %WinDir%How-Are-You.exe
    %WinDir%YoUMaD.exe
    %WinDir%You-Are-WeirD.exe
    %WinDir%Blaargh.exe
    
  5. Usu艅 wszystkie kopie robaka z dysku twardego.
  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).
Worm.P2P.Surnova.t (Kaspersky Lab), W32/Supova.worm!p2p (McAfee),   W32.Supova.Worm (Symantec),   Win32.HLLW.Supernova.45056 (Doctor Web),   W32/Surnova-G (Sophos),   Win32/Supova.G.worm (RAV),   WORM_SURNOVA.T (Trend Micro),   Worm/Surnova.G (H+BEDV),   W32/Spuova.W@p2p (FRISK),   Win32:Surnova (ALWIL),   Worm/Surnova (Grisoft),   Win32.P2P.Surnova.T@mm (SOFTWIN),   Win32.Supova.worm (ClamAV),   Win32/Surnova.T (Eset)