B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy





Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

I-Worm.Protex

Jest to robak rozprzestrzeniaj膮cy si臋 przez interent jako archiwum PROTECT.ZIP za艂膮czone do zainfekowanej wiadomo艣ci e-mail. Szkodnik ma posta膰 pliku PE EXE o rozmiarze oko艂o 10 KB. Za艂膮czone archiwum zawiera kopi臋 robaka o nazwie "ProTecT.exe".

Zainfekowane wiadomo艣ci wysy艂ane przez robaka wygl膮daj膮 nast臋puj膮co:

Od: boletin@viralert.net
Temat: ProTeccion TOTAL contra W32/Bugbear (30dias)
Nazwa za艂膮cznika: PROTECT.ZIP

Tre艣膰 wiadomo艣ci jest pusta.

Szkodnik aktywuje si臋 z zainfekowanej wiadomo艣ci tylko wtedy, gdy u偶ytkownik uruchomi za艂膮czony do niej plik.

Instalacja

Podczas instalacji robak kopiuje si臋 z nazw膮 "PrTecTor.exe" do systemowego folderu Windows i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
XRF = %SystemDir%PrTecTor.exe

Nast臋pnie wirus wy艣wietla okno zawieraj膮ce nast臋puj膮cy komunikat:

PrTecTor
Su Pc <-_NO_-> fue infectado por el W32/Bugbear
ProTecTor sera operativo durante 30dias pasado ese tiempo debera ReGistrar su copia siguiendo las instrucciones att::staff
[ OK ]

Ukrywanie klucza rejestru systemowego

Robak kopiuje si臋 z nazw膮 "regedit.exe" do folderu Windows i tworzy "backup" oryginalnego pliku REGEDIT.EXE z nazw膮 "m_regedit.exe".

Gdy u偶ytkownik uruchomi program REGEDIT, szkodnik przejmuje kontrol臋, usuwa w艂asny wpis "Run" z rejestru systemowego, po czym uruchamia oryginalny Edytor Rejestru z pliku "m_regedit.exe". Po zamkni臋ciu Edytora Rejestru robak reinstaluje si臋 (w艂膮cznie z wpisem w rejestrze systemowym).

W rezultacie wykrycie wpisu szkodnika nie jest mo偶liwe przy u偶yciu Edytora Rejestru.

Rozprzestrzenianie

Robak pobiera kontakty "ofiar" z ksi膮偶ki adresowej Windows (plik WAB). W celu wysy艂ania zainfekowanych wiadomo艣ci wykorzystywane jest bezpo艣rednie z domy艣lnym serwerem SMTP.

W procedurach rozprzestrzeniaj膮cych wyst臋puj膮 b艂臋dy i z tego powodu szkodnik mo偶e mie膰 problemy z wysy艂aniem wiadomo艣ci przy u偶yciu serwer贸w SMTP, kt贸re s膮 w pe艂ni zgodne ze standardami RFC.

Podczas wysy艂ania zainfekowanych wiadomo艣ci robak tworzy nast臋puj膮ce pliki w folderze systemowym Windows:

  • m_WAB.XRF - lista adres贸w "ofiar"
  • m_Base64.xrf - plik ZIP robaka w formacie MIME
  • m_prgrm.zip - plik ZIP robaka

Funkcja dodatkowa

Pocz膮wszy od 1 stycznia 2003 robak restartuje komputer.

Usuwanie robaka

Aby pozby膰 si臋 szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce czynno艣ci:

  • Uruchomi膰 plik "m_regedit.exe" znajduj膮cy si臋 w folderze Windows (jest to oryginalny plik Edytora Rejestru).
  • Usun膮膰 klucz "Run" utworzony przez robaka w rejestrze systemowym (patrz powy偶ej).
  • Uruchomi膰 ponownie komputer i usun膮膰 nast臋puj膮ce pliki zapisane w systemowym folderze Windows:
    • PrTecTor.exe
    • m_WAB.XRF
    • m_Base64.xrf
    • m_prgrm.zip
  • Otworzy膰 folder Windows, usun膮膰 plik "regedit.exe" i zmieni膰 nazw臋 pliku "m_regedit.exe" na "regedit.exe".


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Kontakt | Polityka plik贸w cookie
Copyright © 2023 WirusPC.pl