IM-Worm.Win32.Pykse.a

Robak ten rozprzestrzenia si臋 za po艣rednictwem Skypa. Ma posta膰 pliku PE EXE. Modyfikacje tego programu mog膮 r贸偶ni膰 si臋 pod wzgl臋dem rozmiaru od 57KB do 179KB.

Instalacja

Po uruchomieniu robak rozpakowuje plik ze swojego pliku wykonywalnego i zapisuje go w folderze tymczasowym Windows:

%Temp%sandra.jpg

Plik ma rozmiar 74 880 bajt贸w.

Aby zamaskowa膰 swoj膮 obecno艣膰 w systemie, robak otwiera ten plik przy u偶yciu domy艣lnej przegl膮darki obraz贸w:

Robak kopiuje sw贸j plik wykonywalny do foldera systemu Windows:

%System%Skype.exe

Robak dodaje odno艣nik do swojego pliku wykonywalnego w rejestrze systemowym, zapewniaj膮c sobie uruchomienie wraz z restartem systemu Windows na zaatakowanym komputerze:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"SkypeStartup" = "%System%Skype.exe"

Robak rozpakowuje r贸wnie偶 nast臋puj膮cy plik ze swojego cia艂a:

%System%Invisible002.dll

Plik ma rozmiar 57 344 bajt贸w.

Plik zostanie zarejestrowany w systemie, tworz膮c nast臋puj膮cy klucz rejestru:

[HKCRCLSID{7FB39839-665D-4D47-873C-D3FD9009FC3B}]

@ = "Invisible"

[HKCRCLSID{7FB39839-665D-4D47-873C--D3FD9009FC3B}InprocServer32]

@ = "%System%Invisible002.dll"

"ThreadingModel" = "Apartment"

[HKCRCLSID{7FB39839-665D-4D47-873C--D3FD9009FC3B}TypeLib]

@ = "{7FB39839-665D-4D47-873C--D3FD9009FC3B}"

Robak tworzy r贸wnie偶 nast臋puj膮cy klucz rejestru systemowego:

[HKCUSoftwareSkypeWormcfg]

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper
Objects{7FB39839-665D-4D47-873C-D3FD9009FC3B}]

Funkcje szkodnika

Robak skanuje system w poszukiwaniu okien Skypa. Je艣li znajdzie takie okno, wykorzysta interfejs API celu zdalnego zarz膮dzania programem. Na wszystkie kontakty zostanie wys艂ana wiadomo艣膰 zawieraj膮ca odno艣nik prowadz膮cy do najnowszej wersji tego robaka.

Wiadomo艣膰 jest wybierana losowo z poni偶szej listy:

matei kur sandros foto idejo?
http://www.papai.ru/foto_galerija/***

ziurek kur sandros foto imeciau
http://www.papai.ru/foto_galerija/***

kaip tau tokia? :D http://www.papai.ru/foto_galerija/***

paziurek kokia foto andrius atsiunte
http://www.papai.ru/foto_galerija/***

bet cia nesveikai http://www.papai.ru/foto_galerija/***

:D http://www.papai.ru/foto_galerija/***

uj netau sry http://www.papai.ru/foto_galerija/***

netau cia http://www.papai.ru/foto_galerija/***

oi netau cia turejo but sory
http://www.papai.ru/foto_galerija/***

Robak otrzymuje r贸wnie偶 odno艣nik ze strony zdalnego szkodliwego u偶ytkownika. Szkodnik pobierze plik z tego odno艣nika i zapisze go w folderze systemu Windows (%System%).

Pobrany plik zostanie nast臋pnie uruchomiony w celu wykonania.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. Uruchom komputer w trybie awaryjnym (podczas sekwencji startowej nale偶y wcisn膮膰 i przytrzyma膰 klawisz F8, a nast臋pnie wybra膰 "tryb awaryjny" z menu tekstowego, kt贸re pojawi si臋 na ekranie)
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮ce pliki:
    %Temp%sandra.jpg
    %System%Skype.exe
    %System%Invisible002.dll
    
  4. Usu艅 nast臋puj膮ce wpisy do rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

    "SkypeStartup" = "%System%Skype.exe"

    [HKCRCLSID{7FB39839-665D-4D47-873C-D3FD9009FC3B}]

    [HKCUSoftwareSkypeWormcfg]

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper
    Objects{7FB39839-665D-4D47-873C-D3FD9009FC3B}]

  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).