Email-Worm.Win32.Warezov.op
Robak ma posta膰 pliku PE EXE. Jego komponenty r贸偶ni膮 si臋 pod wzgl臋dem rozmiaru od 14KB do 135KB (kompresja Upack).
Po uruchomieniu robak wy艣wietla nast臋puj膮cy komunikat:
Nast臋pnie robak kopiuje sw贸j plik wykonywalny do foldera systemowego pod nazw膮 "dnsajobe.exe":
%System%dnsajobe.exe
Nast臋pnie szkodnik tworzy nast臋puj膮cy plik (plik ma rozmiar 98 304 bajt贸w):
%System%dnsajobe.dll
Robak tworzy r贸wnie偶 nast臋puj膮cy klucz rejestru systemowego:
"DllName" = "%System%dnsajobe.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000
Robak pobiera adresy e-mail z ksi膮偶ek adresowych systemu Windows.
Robak wykorzystuje sw贸j w艂asny silnik SMTP w celu wysy艂ania zainfekowanych wiadomo艣ci:
Przyk艂ad zainfekowanej wiadomo艣ci
Za艂膮cznik zawiera komponent robaka, kt贸ry potrafi pobiera膰 inne szkodliwe programy za po艣rednictwem Internetu.
Za艂膮cznik ma nast臋puj膮c膮 nazw臋:
Update-KB-x86.exe
Robak potrafi zamkn膮膰 szereg r贸偶nych proces贸w i usun膮膰 us艂ugi zwi膮zane z rozwi膮zaniami antywirusowymi i zaporami sieciowymi.
G艂贸wny plik wykonywalny robaka b臋dzie pobiera艂 inne szkodliwe programy ze strony internetowej zdalnego szkodliwego u偶ytkownika i instalowa艂 je na zaatakowanym komputerze.
Robak b臋dzie przeszukiwa艂 wszystkie pliki na dysku twardym w celu znalezienia adres贸w email i wys艂ania ich na stron臋 internetow膮 zdalnego szkodliwego u偶ytkownika.
Komponent ten b臋dzie wysy艂any przez komponent g艂贸wny u偶ytkownika i b臋dzie pobiera艂 inne pliki z Internetu bez wiedzy czy zgody u偶ytkownika.
Komponent ten pobiera plik z nast臋puj膮cego odno艣nika:
http://badstunjinfendaslions.com/****32.exe
W momencie tworzenia tego opisu w odno艣niku tym znajdowa艂a si臋 najnowsza wersja pliku wykonywalnego tego robaka.
Pobrany plik zostanie zapisany w folderze tymczasowym systemu Windows z losowo wybran膮 nazw膮. Nast臋pnie plik zostanie uruchomiony w celu wsykonania.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodnika.
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮cy parametr z rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifydnsajobe] - Usu艅 r臋cznie wyszczeg贸lnione poni偶ej pliki z foldera systemowego:
%System%dnsajobe.dll %System%dnsajobe.exe
- Usu艅 wszystkie zainfekowane wiadomo艣ci z wszystkich folder贸w pocztowych.
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).