P2P-Worm.Win32.Surnova.p
Po uruchomieniu robak wy艣wietla nast臋puj膮cy komunikat o b艂臋dzie:
Robak kopiuje sw贸j plik wykonywalny do foldera g艂贸wnego systemu Windows z jedn膮 z nast臋puj膮cych nazw:
%WinDir%Look-at-This!!!!.exe %WinDir%Look-at-My-Pussy.exe %WinDir%How-Are-You.exe %WinDir%YoUMaD.exe %WinDir%You-Are-WeirD.exe %WinDir%Blaargh.exe
Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz ze startem systemu, robak dodaje odsy艂acz do swojego pliku wykonywalnego do rejestru systemowego:
"Ultranova" = "%WinDir%(nazwa pliku wykonywalnego).exe"
Robak kopiuje sw贸j plik wykonywalny do nast臋puj膮cego foldera:
%WinDir%Media
z nast臋puj膮cymi nazwami:
Windows XP key generator.exe Windows XP serial generator.exe Key generator for all windows XP versions.exe Warcraft 3 ONLINE key generator.exe Half-life ONLINE key generator.exe Quake 4 BETA.exe Grand theft auto 3 CD1 crack.exe GTA3 crack.exe Battle.net key generator (WORKS!!).exe Warcraft 3 battle.net serial generator.exe Half-life WON key generator.exe Star wars episode 2 downloader.exe Winzip 8.0 + serial.exe Winrar + crack.exe Britney spears nude.exe Macromedia MX key generator (all products).exe KaZaA media desktop v2.0 UNOFFICIAL.exe Microsoft key generator, works for ALL microsoft products!!.exe Microsoft Windows XP crack pack.exe Hack into any computer!!.exe DivX codec v6.0.exe DivX newest version.exe DivX.exe DivX pro key generator.exe Key generator for over 1,000 applications (really!).exe DivX patch - Increases quality.exe KaZaA spyware remover.exe Age of empires 2 crack.exe Norton antivirus 2002.exe Macromedia Dreamweaver MX Key Generator.exe Macromedia Flash MX Key Generator.exe Microsoft Office XP (english) key generator.exe Microsoft Office XP.iso.exe CloneCD + crack.exe CloneCD all-versions key generator.exe XBOX emulator (WORKS!!).exe Gamecube Emulator (WORKS!!).exe Xbox.info.exe Spiderman CD 1 of 2.exe Spiderman CD 2 of 2.exe Blade 2 [DVD Quality].exe
Robak kopiuje r贸wnie偶 sw贸j plik wykonywalny z nazwami wymienionymi wy偶ej do foldera, do kt贸rego prowadzi nast臋puj膮cy parametr klucza rejestru:
"Dir0"
Robak rozprzestrzenia si臋 r贸wnie偶 poprzez luk臋 w zabezpieczeniach MSN Messenger, kt贸ra umo偶liwia pobranie plik贸w na zaatakowan膮 maszyn臋 bez wiedzy czy zgody u偶ytkownika. W tym celu robak wysy艂a wiadomo艣膰 do wszystkich kontakt贸w MSN. Wraz z kopi膮 robaka wysy艂ana jest jedna z nast臋puj膮cych wiadomo艣ci:
Hehe, check this out :-) Funny, check it out (h) COOL! See this :D COOL! Check this out :) Hehe, this is fun :-)
Robak tworzy r贸wnie偶 plik o losowej nazwie z艂o偶onej z 11 cyfr oraz rozszerzeniu .exe w %WinDir%. Plik ten zawiera nast臋puj膮cy tekst:
W32.Ultranova --------------------------------------------------- 'Patch the leaks or the ship will sink' ---------------------------------------------------
Robak usuwa r贸wnie偶 wszystkie pliki z foldera g艂贸wnego na dysku C:
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu robaka.
- Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Ultranova" = "%WinDir%.exe" - Usu艅 kopie robaka:
%WinDir%Look-at-This!!!!.exe %WinDir%Look-at-My-Pussy.exe %WinDir%How-Are-You.exe %WinDir%YoUMaD.exe %WinDir%You-Are-WeirD.exe %WinDir%Blaargh.exe
- Usu艅 wszystkie kopie robaka z dysku twardego.
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).