Email-Worm.Win32.Scano.b
Po uruchomieniu robak wy艣wietla przy u偶yciu przegl膮darki Internet Explorer poni偶sz膮 stron臋:
http://www.nah**.com/
Nast臋pnie szkodnik kopiuje si臋 do foldera Windows z nazw膮 csrss.exe i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:
[HKCUSoftwareMicrosoftWindows NTCurrentVersionDevices]
"Debugger"="%Windir%csrss.exe"
"explorer.exe"="explorer.exe"
Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:
adb asp cfg cgi dbx dhtm dhtml eml htm html jsp mbx mdx mht mmf msg nch ods oft php pl sht shtm stm tbb txt uin wab wsh xls xml
Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:
0 2003 2004 2005 2006 @avp. @example. @foo @hotmail @iana @messagelab @microsoft @msn @subscribe abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local Mailer-Daemon@ news nobody@ noone@ noreply ntivi panda pgp postmaster@ qmail rating@ root@ samples sopho spam spm111@ support torvalds@ unix update winrar winzip
W celu wysy艂ania wiadomo艣ci robak nawi膮zuje bezpo艣rednie po艂膮czenie z serwerem SMTP odbiorcy.
Za艂膮cznik zainfekowanych wiadomo艣ci zawiera wykonywalny CPL. Nazwa za艂膮cznika jest wybierana z poni偶szych mo偶liwo艣ci:
cool me new Re you
Za艂膮cznik mo偶e posiada膰 podw贸jne rozszerzenie. Jedno z nich jest wybierane z poni偶szych mo偶liwo艣ci:
avi cab doc mpg txt
Szkodnik otwiera losowy port TCP i oczekuje na zdalne polecenia.
Robak 艂膮czy si臋 z poni偶szymi serwerami i pobiera z nich pliki bez wiedzy u偶ytkownika zainfekowanego u偶ytkownika:
http://207.**.250.119 http://84.**.161.192 http://85.249.**.35
W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje:
- Uruchomi膰 komputer w trybie awaryjnym (podczas sekwencji startowej nale偶y wcisn膮膰 i przytrzyma膰 klawisz F8, a nast臋pnie wybra膰 "tryb awaryjny" z menu tekstowego, kt贸re pojawi si臋 na ekranie)
- Usun膮膰 z rejestru nast臋puj膮ce klucze:
- [HKLMSoftwareMicrosoftWindows NTCurrentVersion
Image File Execution Optionsexplorer.exe]
"Debugger"="%Windir%csrss.exe" - [HKCUSoftwareMicrosoftWindows NTCurrentVersionDevices]
"explorer.exe"="explorer.exe"
- [HKLMSoftwareMicrosoftWindows NTCurrentVersion
%Windir%csrss.exe