Email-Worm.Win32.Warezov.mo
Podczas uruchamiania robak wydobywa ze swojego cia艂a do folderu systemowego nast臋puj膮ce pliki:
%System%diagisr.dll %System%isrprf32.dll %System%isrprov.exe %System%117X4sHrH5C.dll
Aby zapewni膰 sobie automatyczne uruchamianie wraz z restartem systemu, robak dodaje do rejestru systemowego odsy艂acz do swojego pliku wykonywalnego:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"himem.exe" = "(艣cie偶ka do pliku wykonywalnego robaka) -s"
"AppInit_DLLs" = "%System%diagisr.dll"
Robak wstrzykuje sw贸j komponent, %System%diagisr.dll, do nast臋puj膮cych proces贸w:
iexplore.exe services.exe firefox.exe opera.exe zlclient.exe zapro.exe smc.exe ccapp.exe outpost.exe mpftray.exe
Komponent ten stosuje nast臋pnie specjalne procedury dla ka偶dego z proces贸w w celu unikni臋cia oprogramowania bezpiecze艅stwa. Procedury te r贸偶ni膮 si臋 w zale偶no艣ci od procesu, wszystkie jednak opieraj膮 si臋 na imitowaniu klikni臋cia przez u偶ytkownika przycisku w celu zezwolenia na dost臋p do sieci lub zezwolenia na inn膮 podejrzan膮 aktywno艣膰.
Robak pr贸buje r贸wnie偶 wy艂膮czy膰 us艂ugi zwi膮zane z nast臋puj膮cymi programami bezpiecze艅stwa:
Zone Labs Zone Alarm Sygate Personal Firewall Symantec Internet Security Agnitum Outpost Firewall Kaspersky Anti-Virus Personal
G艂贸wny komponent robaka przechwytuje informacje kontaktowe z ksi膮偶ki adresowej programu Microsoft Outlook oraz z listy kontakt贸w Yahoo Messenger.
Przechwycone dane zostan膮 umieszczone na jednej ze stron zdalnego szkodliwego u偶ytkownika:
****kerunskdarun.com ****dinkionkderunjsa.com ****linkdeshkina.com ****ionkertunhasderun.com ****ionkdesunjafunhde.com ****tunjinkderunhasdefun.com ****dunkinmdespish.com ****dinjertiona.com ****erunkiondemfunhas.com ****uiceshkin.com ****etionkasde.com ****onlderunjadesunjerpas.com ****sariomdesin.com ****onjderinjdaserinjde.com ****onmdefunshjin.com ****ionkdesunjadewionsa.com ****defunjdesa.com ****defunhsadefuinn.com ****dasetiondegnas.com ****onkdesunjadefinpiomi.com ****onkdaerinjdefunhsa.com ****onkadesunjionkasde.com ****ndefunhasetrionde.com ****jinpiontunyunde.com ****runjionkdefunhasde.com ****suntiondeunwaserun.com ****sunjiokderunjdaserin.com ****sinlinmaspion.com ****funtionkderunhsa.com ****derionjdepisadrin.com ****dnegunhfaxesun.com ****djeinkdadeisna.com ****nsadehungans.com ****esinjertiopasde.com ****duewnahsuewaa.com ****nmdefuhawuinde.com ****kirationdefun.com ****unkionmasderunhas.com ****ionkdrunjdapolinkdun.com ****npasdinkerinjjas.com ****esunjionderunshishu.com
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia oryginalnego procesu szkodnika.
- Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮cy parametr z rejestru systemowego:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "himem.exe" = "(艣cie偶ka do pliku wykonywalnego robaka) -s" - Cofnij nast臋puj膮cy parametr klucza rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs" = "%System%diagisr.dll"do oryginalnej warto艣ci:
"AppInit_DLLs" = " " - Usu艅 wszystkie zainfekowane wiadomo艣ci z wszystkich folder贸w pocztowych.
- Uruchom ponownie komputer.
- Usu艅 nast臋puj膮ce pliki:
%System%diagisr.dll %System%isrprf32.dll %System%isrprov.exe %System%117X4sHrH5C.dll
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).