Robak ten rozprzestrzenia się za pośrednictwem poczty elektronicznej. Szkodnik umieszcza w załączniku do zainfekowanych wiadomości email nie własną kopię, ale komponent, który potrafi pobierać inne szkodliwe programy za pośrednictwem Internetu.

Zainfekowane wiadomości zostaną wysłane na wszystkie adresy email pobrane z zaatakowanego komputera.

Robak ma postać pliku PE EXE o rozmiarze 123 392 bajtów (kompresja Upack).

Instalacja

Po uruchomieniu robak wyświetla następujący komunikat:

Następnie robak kopiuje swój plik wykonywalny do foldera systemowego jako "kbdhmobs.exe":

%System%kbdhmobs.exe

Umieszcza następujący plik o rozmiarze 110 592 bajtów.

%System%kbdhmobs.dll

Robak tworzy również następujący klucz rejestru systemowego:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifykbdhmobs]
"DllName" = "%System%kbdhmobs"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Rozprzestrzenianie - poczta elektroniczna

Robak pobiera adresy email z książek adresowych systemu Windows.

Robak wykorzystuje swój własny silnik SMTP w celu wysyłania zainfekowanych wiadomości.

Zainfekowane wiadomości:

Temat wiadomości:

Mail sever report.

Treść wiadomości:

Do not reply to this message

Dear Customer,

Our robot has fixed an abnormal activity from your IP address on sending e-mails.
Probably it is connected with the last epidemic of a worm which does not have
patches at the moment.
We recommend you to install a firewall module and it will stop e-mail sending.
Otherwise your account will be blocked until you do not eliminate malfunction.
Customer support center robot

Nazwa załącznika:

Załącznik zawiera komponent robaka, który potrafi pobierać inne szkodliwe programy za pośrednictwem Internetu. Plik ten ma następującą nazwę:

Update-KB -x86.exe

Funkcje szkodnika

Funkcja szkodliwa głównego komponentu

Robak potrafi kończyć szereg różnych procesów oraz usuwać usługi związane z rozwiązaniami antywirusowymi i zaporami sieciowymi.

Główny plik wykonywalny robaka będzie pobierał inne szkodliwe programy ze strony zdalnego szkodliwego użytkownika i instalował je na zaatakowanym komputerze.

Robak będzie przeszukiwał wszystkie pliki na dysku twardym w celu znalezienia adresów email i wysłania ich na stronę zdalnego szkodliwego użytkownika.

Szkodliwa funkcja komponentu wysyłanego jako załącznik

Komponent ten będzie pobierał inne pliki z Internetu bez wiedzy czy zgody użytkownika.

Komponent ten będzie pobierał najnowszy wariant robaka z wyszczególnionej stronie. Odsyłacz do strony jest zakodowany do ciała robaka.

Pobrany plik zostanie zapisany w folderze systemu Windows z losowo wybraną nazwą. Następnie plik ten zostanie uruchomiony w celu wykonania.

Usuwanie szkodnika z zainfekowanego systemu

Wykrywanie tej wersji robaka zostało dodane do antywirusowych baz danych oprogramowania Kaspersky Anti-Virus jako uaktualnienie pilne.

Jeśli posiadasz oprogramowanie Kaspersky Anti-Virus i została włączona Ochrona Proaktywna, szkodliwy program będzie wykrywany bez konieczności aktualizacji antywirusowych baz danych.

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia oryginalnego procesu robaka.
2. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
3. Usuń następujący parametr z rejestru systemowego:

   [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifykbdhmobs]

4. Usuń następujące pliki:

   %System%kbdhmobs.exe
   %System%kbdhmobs.dll
   

5. Usuń wszystkie zainfekowane wiadomości z wszystkich folderów pocztowych.
6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).