Email-Worm.VBS.Small.n
Podczas uruchamiania robak tworzy w艂asn膮 kopi臋 w folderze g艂贸wnym systemu Windows:
%WinDir%Troyan.vbs
W celu zapewnienia sobie automatycznego uruchomienia si臋 wraz z ka偶dym startem systemu robak rejestruje sw贸j plik wykonywalny w rejestrze systemowym:
"E-Mail" = "%WinDir%Troyan.vbs"
Robak wysy艂a siebie do wszystkich kontakt贸w w ksi膮偶ce adresowej.
Wysy艂a r贸wnie偶 powiadomienie do zdalnego szkodliwego u偶ytkownika o zainfekowaniu maszyny. Do wiadomo艣ci do艂膮czany jest przechwycony plik pwl. Plik ten zawiera has艂a u偶ytkownika.
Robak przechwytuje adresy email z ksi膮偶ki adresowej programu MS Outlook. Nast臋pnie cyklicznie wysy艂a swoje cia艂o na wszystkie przechwycone adresy.
Zainfekowane wiadomo艣ci
Przyk艂ad zainfekowanych wiadomo艣ci:
Temat wiadomo艣ci:
Prinosim izveneniya…
Tre艣膰 wiadomo艣ci:
Prinosim izvineniya za lichnoye bespokoistvo. Prosim vas vyislat' Vash login i parol' (zhelatel'no bez lishnikh simvolov) na adres: support@inbox.ru dlya povtornoi identifikatsii. Zaranee spasibo…"
Robak wysy艂a swoje cia艂o w za艂膮czonym do wiadomo艣ci pliku.
Przyk艂ad wiadomo艣ci wys艂anej zdalnemu szkodliwemu u偶ytkownikowi (*****Snake@inbox.ru):
Temat wiadomo艣ci:
Lam grokhnut!!!
Tre艣膰 wiadomo艣ci:
Vot fail s parolyami
Nazwa za艂膮cznika (wybierana z poni偶szych mo偶liwo艣ci):
,pwl
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮cy klucz rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"E-Mail" = "%WinDir%Troyan.vbs" - Usu艅 plik stworzony przez robaka:
%WinDir%Troyan.vbs
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).