Worm.Win32.Bomzh.b

Robak ten rozprzestrzenia si臋 poprzez tworzenie w艂asnych kopii na dyskach lokalnych i zasobach sieciowych z dost臋pem do zapisu. Ma posta膰 pliku PE EXE o rozmiarze 163840 bajt贸w.

Instalacja

Po uruchomieniu robak kopiuje sw贸j plik wykonywalny do foldera systemu Windows:

%System%windata.exe

Nast臋pnie robak wypakowuje ze swojego cia艂a nast臋puj膮ce pliki:

%System%url.exe - o rozmiarze 65536 bajt贸w
%System%csiss.exe - o rozmiarze 24576 bajt贸w
%System%Scryptnat.dll - o rozmiarze 24576 bajt贸w

W celu zapewnienia sobie automatycznego uruchamiania wraz z ka偶dym restartem systemu robak dodaje odsy艂acz do swojego pliku wykonywalnego do rejestru systemowego:

[HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifyScryptnat]
"DllName" = "Scryptnat.dll"

Rozprzestrzenianie

Robak kopiuje sw贸j plik wykonywalny do katalogu g艂贸wnego ka偶dego dysku przeno艣nego z nast臋puj膮c膮 nazw膮:

:Recycled.exe, (X standing for the letter of the drive)

Opr贸cz swojego pliku wykonywalnego robak umieszcza r贸wnie偶 poni偶szy plik w katalogu g艂贸wnym ka偶dego dysku:

:autorun.inf

Plik ten uruchamia plik wykonywalny robaka za ka偶dym razem, gdy u偶ytkownik otworzy zainfekowan膮 partycj臋 przy pomocy Explorera.

Funkcje szkodnika

Robak modyfikuje nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego:

[HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallP
olicyStandardProfile]
"EnableFirewall" = "0"

Robak pobiera r贸wnie偶 plik z nast臋puj膮cej strony:

www.ppcode.cn******

i zapisuje go do foldera systemu Windows:

%System%ker.exe

Nast臋pnie plik jest uruchamiany w celu wykonania.

W momencie tworzenia tego opisu odsy艂acz ten nie by艂 aktywny.

Robak tworzy r贸wnie偶 poni偶szy plik i zapisuje do niego swoj膮 konfiguracj臋:

%System%parffilt.ini

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu
  2. Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮cy klucz rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindows
    NTCurrentVersionWinlogonNotifyScryptnat]

  4. Usu艅 nast臋puj膮ce pliki:

    %System%windata.exe
    %System%url.exe
    %System%csiss.exe
    %System%Scryptnat.dll
    %System%parffilt.ini
    %System%ker.exe
    
  5. Usu艅 nast臋puj膮ce pliki z dysk贸w przeno艣nych:
    :Recycled.exe
    :autorun.inf
    

    x oznacza liter臋 dysku przeno艣nego.

  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).