Email-Worm.Win32.Warezov.mo

Ten szkodliwy program jest robakiem. Pierwotnie zosta艂 masowo rozes艂any. Ma posta膰 pliku PE EXE. Komponenty robaka r贸偶ni膮 si臋 pod wzgl臋dem rozmiaru od 102KB do 165KB.

Instalacja

Podczas uruchamiania robak wydobywa ze swojego cia艂a do folderu systemowego nast臋puj膮ce pliki:

%System%diagisr.dll
%System%isrprf32.dll
%System%isrprov.exe
%System%117X4sHrH5C.dll

Aby zapewni膰 sobie automatyczne uruchamianie wraz z restartem systemu, robak dodaje do rejestru systemowego odsy艂acz do swojego pliku wykonywalnego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"himem.exe" = "(艣cie偶ka do pliku wykonywalnego robaka) -s"

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs" = "%System%diagisr.dll"

Funkcje szkodnika

Robak wstrzykuje sw贸j komponent, %System%diagisr.dll, do nast臋puj膮cych proces贸w:

iexplore.exe
services.exe
firefox.exe
opera.exe
zlclient.exe
zapro.exe
smc.exe
ccapp.exe
outpost.exe
mpftray.exe

Komponent ten stosuje nast臋pnie specjalne procedury dla ka偶dego z proces贸w w celu unikni臋cia oprogramowania bezpiecze艅stwa. Procedury te r贸偶ni膮 si臋 w zale偶no艣ci od procesu, wszystkie jednak opieraj膮 si臋 na imitowaniu klikni臋cia przez u偶ytkownika przycisku w celu zezwolenia na dost臋p do sieci lub zezwolenia na inn膮 podejrzan膮 aktywno艣膰.

Robak pr贸buje r贸wnie偶 wy艂膮czy膰 us艂ugi zwi膮zane z nast臋puj膮cymi programami bezpiecze艅stwa:

Zone Labs Zone Alarm
Sygate Personal Firewall
Symantec Internet Security
Agnitum Outpost Firewall
Kaspersky Anti-Virus Personal

G艂贸wny komponent robaka przechwytuje informacje kontaktowe z ksi膮偶ki adresowej programu Microsoft Outlook oraz z listy kontakt贸w Yahoo Messenger.

Przechwycone dane zostan膮 umieszczone na jednej ze stron zdalnego szkodliwego u偶ytkownika:

****kerunskdarun.com
****dinkionkderunjsa.com
****linkdeshkina.com
****ionkertunhasderun.com
****ionkdesunjafunhde.com
****tunjinkderunhasdefun.com
****dunkinmdespish.com
****dinjertiona.com
****erunkiondemfunhas.com
****uiceshkin.com
****etionkasde.com
****onlderunjadesunjerpas.com
****sariomdesin.com
****onjderinjdaserinjde.com
****onmdefunshjin.com
****ionkdesunjadewionsa.com
****defunjdesa.com
****defunhsadefuinn.com
****dasetiondegnas.com
****onkdesunjadefinpiomi.com
****onkdaerinjdefunhsa.com
****onkadesunjionkasde.com
****ndefunhasetrionde.com
****jinpiontunyunde.com
****runjionkdefunhasde.com
****suntiondeunwaserun.com
****sunjiokderunjdaserin.com
****sinlinmaspion.com
****funtionkderunhsa.com
****derionjdepisadrin.com
****dnegunhfaxesun.com
****djeinkdadeisna.com
****nsadehungans.com
****esinjertiopasde.com
****duewnahsuewaa.com
****nmdefuhawuinde.com
****kirationdefun.com
****unkionmasderunhas.com
****ionkdrunjdapolinkdun.com
****npasdinkerinjjas.com
****esunjionderunshishu.com

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia oryginalnego procesu szkodnika.
  2. Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮cy parametr z rejestru systemowego:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "himem.exe" = "(艣cie偶ka do pliku wykonywalnego robaka) -s"

  4. Cofnij nast臋puj膮cy parametr klucza rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]
    "AppInit_DLLs" = "%System%diagisr.dll"

    do oryginalnej warto艣ci:

    "AppInit_DLLs" = " "

  5. Usu艅 wszystkie zainfekowane wiadomo艣ci z wszystkich folder贸w pocztowych.
  6. Uruchom ponownie komputer.
  7. Usu艅 nast臋puj膮ce pliki:
    %System%diagisr.dll
    %System%isrprf32.dll
    %System%isrprov.exe
    %System%117X4sHrH5C.dll
    
  8. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).