Worm.Win32.Bomzh.b
Po uruchomieniu robak kopiuje sw贸j plik wykonywalny do foldera systemu Windows:
%System%windata.exe
Nast臋pnie robak wypakowuje ze swojego cia艂a nast臋puj膮ce pliki:
%System%url.exe - o rozmiarze 65536 bajt贸w %System%csiss.exe - o rozmiarze 24576 bajt贸w %System%Scryptnat.dll - o rozmiarze 24576 bajt贸w
W celu zapewnienia sobie automatycznego uruchamiania wraz z ka偶dym restartem systemu robak dodaje odsy艂acz do swojego pliku wykonywalnego do rejestru systemowego:
NTCurrentVersionWinlogonNotifyScryptnat]
"DllName" = "Scryptnat.dll"
Robak kopiuje sw贸j plik wykonywalny do katalogu g艂贸wnego ka偶dego dysku przeno艣nego z nast臋puj膮c膮 nazw膮:
:Recycled.exe, (X standing for the letter of the drive)
Opr贸cz swojego pliku wykonywalnego robak umieszcza r贸wnie偶 poni偶szy plik w katalogu g艂贸wnym ka偶dego dysku:
:autorun.inf
Plik ten uruchamia plik wykonywalny robaka za ka偶dym razem, gdy u偶ytkownik otworzy zainfekowan膮 partycj臋 przy pomocy Explorera.
Robak modyfikuje nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego:
olicyStandardProfile]
"EnableFirewall" = "0"
Robak pobiera r贸wnie偶 plik z nast臋puj膮cej strony:
www.ppcode.cn******
i zapisuje go do foldera systemu Windows:
%System%ker.exe
Nast臋pnie plik jest uruchamiany w celu wykonania.
W momencie tworzenia tego opisu odsy艂acz ten nie by艂 aktywny.
Robak tworzy r贸wnie偶 poni偶szy plik i zapisuje do niego swoj膮 konfiguracj臋:
%System%parffilt.ini
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu
- Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮cy klucz rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifyScryptnat] - Usu艅 nast臋puj膮ce pliki:
%System%windata.exe %System%url.exe %System%csiss.exe %System%Scryptnat.dll %System%parffilt.ini %System%ker.exe
- Usu艅 nast臋puj膮ce pliki z dysk贸w przeno艣nych:
:Recycled.exe :autorun.inf x oznacza liter臋 dysku przeno艣nego.
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).