Email-Worm.BAT.Alcobul.b
Po uruchomieniu robak kopiuje swoje cia艂o do nast臋puj膮cych folder贸w o poni偶szych nazwach:
C:XPxp.bat C:Recycledxp.bat C:WindowsHTTPRedirect.htm.bat C:WindowsSystem32Redirection.exe.bat C:WindowsCommandPageRedirect.asp.bat C:Redirect.php.bat C:WindowsSystemRedirection.bat C:WindowsXPUpgrade.bat
Aby zapewni膰 sobie automatyczne uruchamiania wraz z restartem systemu, robak rejestruje sw贸j plik wykonywalny w rejestrze systemowym:
"PX" = "C:XPxp.bat"
"PXV" = "C:Recycledxp.bat"
Robak rozprzestrzenia si臋 na dwa sposoby.
- Rozprzestrzeniane za po艣rednictwem kana艂贸w IRC:
Je艣li program o nazwie "mIRC" zostanie zainstalowany na zaatakowanej maszynie, robak podstawi plik o nazwie "script.ini" w miejsce "C:mIRCscript.ini". Plik ten zawiera polecenia wys艂ania cia艂a robaka do u偶ytkownik贸w za po艣rednictwem kana艂u IRC.
- Rozprzestrzeniane za po艣rednictwem Internetu, jako za艂膮cznik do zainfekowanych wiadomo艣ci:
Robak tworzy nast臋puj膮cy plik:
C:X.vbs
Plik wysy艂a kopi臋 robaka na wszystkie adresy w ksi膮偶ce adresowej programu Outlook Express.
- Temat wiadomo艣ci (wybierany losowo z poni偶szej listy):
Take a look at this.. Hi there! Hello! I wanna tell you how much I adore you..
- Tre艣膰 wiadomo艣ci: (wybierana losowo z poni偶szej listy):
Hi there..You've just won a free backstage pass... Watch your favourite band/boyband perform live..Just tell us who do you want to see by clicking at this redirection software.. We make dreams come true..FreePasses.com Hey.. Your mom sent me this message.. How dare your mom talk to me like that.. Shit! Hello former classmate.. I'm Heather and I have included a file which will redirect you to my webpage.. Full of nude picutres and stuff.. See you soon. You've won a free plane ticket to Hawaii. To claim your prize, we included a redirection software for security purposes. Only from FlyHawaii.com Check out my nude picture gallery.. Sarah.. Take a look at this..
Robak wysy艂a jeden z poni偶szych plik贸w jako za艂膮cznik:
C:WindowsHTTPRedirect.htm.bat C:WindowsSystem32Redirection.exe.bat C:WindowsCommandPageRedirect.asp.bat C:Redirect.php.bat C:WindowsSystemRedirection.bat
Robak podstawia r贸wnie偶 swoje cia艂o w miejsce wszystkich plik贸w z rozszerzeniem "*.dat" w nast臋puj膮cym folderze:
C:progra~1mcafeemcafee~1
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 wszystkie pliki stworzone przez robaka:
C:XPxp.bat C:Recycledxp.bat C:WindowsHTTPRedirect.htm.bat C:WindowsSystem32Redirection.exe.bat C:WindowsCommandPageRedirect.asp.bat C:Redirect.php.bat C:WindowsSystemRedirection.bat C:WindowsXPUpgrade.bat
- Usu艅 folder stworzony przez robaka:
C:XP
- Usu艅 nast臋puj膮c膮 warto艣膰 rejestru systemowego:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"PX"="C:XPxp.bat"
"PXV"="C:Recycledxp.bat" - Przywr贸膰 z kopii zapasowej pliki usuni臋te przez robaka:
C:progra~1mcafeemcafee~1*.dat
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).