Email-Worm.Win32.Warezov.op

Jest to robak rozprzestrzeniaj膮cy si臋 za po艣rednictwem Internetu jako za艂膮cznik do zainfekowanych wiadomo艣ci e-mail. Za艂膮cznik nie zwiera kopii robaka, ale komponent, kt贸ry pobiera inne szkodliwe programy za po艣rednictwem Internetu.

Robak ma posta膰 pliku PE EXE. Jego komponenty r贸偶ni膮 si臋 pod wzgl臋dem rozmiaru od 14KB do 135KB (kompresja Upack).

Instalacja

Po uruchomieniu robak wy艣wietla nast臋puj膮cy komunikat:

Nast臋pnie robak kopiuje sw贸j plik wykonywalny do foldera systemowego pod nazw膮 "dnsajobe.exe":

%System%dnsajobe.exe

Nast臋pnie szkodnik tworzy nast臋puj膮cy plik (plik ma rozmiar 98 304 bajt贸w):

%System%dnsajobe.dll

Robak tworzy r贸wnie偶 nast臋puj膮cy klucz rejestru systemowego:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifydnsajobe]
"DllName" = "%System%dnsajobe.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Rozprzestrzenianie - poczta elektroniczna

Robak pobiera adresy e-mail z ksi膮偶ek adresowych systemu Windows.

Robak wykorzystuje sw贸j w艂asny silnik SMTP w celu wysy艂ania zainfekowanych wiadomo艣ci:

Przyk艂ad zainfekowanej wiadomo艣ci

Za艂膮cznik zawiera komponent robaka, kt贸ry potrafi pobiera膰 inne szkodliwe programy za po艣rednictwem Internetu.
Za艂膮cznik ma nast臋puj膮c膮 nazw臋:

Update-KB-x86.exe

Funkcje szkodnika

Funkcje g艂贸wnego komponenta

Robak potrafi zamkn膮膰 szereg r贸偶nych proces贸w i usun膮膰 us艂ugi zwi膮zane z rozwi膮zaniami antywirusowymi i zaporami sieciowymi.

G艂贸wny plik wykonywalny robaka b臋dzie pobiera艂 inne szkodliwe programy ze strony internetowej zdalnego szkodliwego u偶ytkownika i instalowa艂 je na zaatakowanym komputerze.

Robak b臋dzie przeszukiwa艂 wszystkie pliki na dysku twardym w celu znalezienia adres贸w email i wys艂ania ich na stron臋 internetow膮 zdalnego szkodliwego u偶ytkownika.

Funkcje komponenta wysy艂anego jako za艂膮cznik

Komponent ten b臋dzie wysy艂any przez komponent g艂贸wny u偶ytkownika i b臋dzie pobiera艂 inne pliki z Internetu bez wiedzy czy zgody u偶ytkownika.

Komponent ten pobiera plik z nast臋puj膮cego odno艣nika:

http://badstunjinfendaslions.com/****32.exe

W momencie tworzenia tego opisu w odno艣niku tym znajdowa艂a si臋 najnowsza wersja pliku wykonywalnego tego robaka.

Pobrany plik zostanie zapisany w folderze tymczasowym systemu Windows z losowo wybran膮 nazw膮. Nast臋pnie plik zostanie uruchomiony w celu wsykonania.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodnika.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮cy parametr z rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifydnsajobe]

  4. Usu艅 r臋cznie wyszczeg贸lnione poni偶ej pliki z foldera systemowego:
    %System%dnsajobe.dll
    %System%dnsajobe.exe
    
  5. Usu艅 wszystkie zainfekowane wiadomo艣ci z wszystkich folder贸w pocztowych.
  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).