Email-Worm.Win32.Scano.b

Jest to robak rozprzestrzeniaj膮cy si臋 przez Internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 18 KB (kompresja Upack, rozmiar po rozpakowaniu - oko艂o 85 KB). Szkodnik wyposa偶ony jest w procedur臋 backdoor.

Instalacja

Po uruchomieniu robak wy艣wietla przy u偶yciu przegl膮darki Internet Explorer poni偶sz膮 stron臋:

http://www.nah**.com/

Nast臋pnie szkodnik kopiuje si臋 do foldera Windows z nazw膮 csrss.exe i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe]
"Debugger"="%Windir%csrss.exe"

[HKCUSoftwareMicrosoftWindows NTCurrentVersionDevices]
"explorer.exe"="explorer.exe"

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:

adb
asp
cfg
cgi
dbx
dhtm
dhtml
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:

0
2003
2004
2005
2006
@avp.
@example.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
@subscribe
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
Mailer-Daemon@
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
qmail
rating@
root@
samples
sopho
spam
spm111@
support
torvalds@
unix
update
winrar
winzip

W celu wysy艂ania wiadomo艣ci robak nawi膮zuje bezpo艣rednie po艂膮czenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomo艣ci e-mail

Za艂膮cznik zainfekowanych wiadomo艣ci zawiera wykonywalny CPL. Nazwa za艂膮cznika jest wybierana z poni偶szych mo偶liwo艣ci:

cool 
me 
new 
Re 
you

Za艂膮cznik mo偶e posiada膰 podw贸jne rozszerzenie. Jedno z nich jest wybierane z poni偶szych mo偶liwo艣ci:

avi 
cab 
doc 
mpg 
txt

Zdalne zarz膮dzanie

Szkodnik otwiera losowy port TCP i oczekuje na zdalne polecenia.

Funkcje robaka

Robak 艂膮czy si臋 z poni偶szymi serwerami i pobiera z nich pliki bez wiedzy u偶ytkownika zainfekowanego u偶ytkownika:

http://207.**.250.119 
http://84.**.161.192 
http://85.249.**.35

Usuwanie szkodnika z zainfekowanego systemu

W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje:

  • Uruchomi膰 komputer w trybie awaryjnym (podczas sekwencji startowej nale偶y wcisn膮膰 i przytrzyma膰 klawisz F8, a nast臋pnie wybra膰 "tryb awaryjny" z menu tekstowego, kt贸re pojawi si臋 na ekranie)

  • Usun膮膰 z rejestru nast臋puj膮ce klucze:

    • [HKLMSoftwareMicrosoftWindows NTCurrentVersion
      Image File Execution Optionsexplorer.exe]
      "Debugger"="%Windir%csrss.exe"
    • [HKCUSoftwareMicrosoftWindows NTCurrentVersionDevices]
      "explorer.exe"="explorer.exe"

  • Usun膮膰 z dysku poni偶szy plik:
    %Windir%csrss.exe
    
  • Uruchomi膰 komputer w trybie normalnym i upewni膰 si臋, 偶e wszystkie zainfekowane pliki i wiadomo艣ci e-mail zosta艂y usuni臋te.
  • Przeprowadzi膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z wersji testowej programu Kaspersky Anti-Virus).