B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy








Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Worm.Win32.Agent.i

Szkodnik ten jest robakiem. Ma posta膰 pliku PE EXE o rozmiarze 71 168 bajt贸w (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 240KB).

Instalacja

Po uruchomieniu robak tworzy nast臋puj膮cy folder: 

%System%ace

Po uruchomieniu robak wydobywa ze swojego cia艂a nast臋puj膮cy plik do swojego foldera roboczego: 

WinTask.exe

Plik ten ma rozmiar 65 586 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan.Win32.Enfal.d

Plik jest nast臋pnie uruchamiany w celu wykonania.

W celu zapewnienia automatycznego uruchamiania robaka wraz ze startem systemu robak rejestruje sw贸j plik wykonywalny w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
Shell = "(艣cie偶ka do nazwy pliku wykonywalnego robaka)"

Robak tworzy r贸wnie偶 nast臋puj膮ce warto艣ci klucza rejestru:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
ShowSuperHidden = 0

Funkcje szkodnika

Robak poszukuje plik贸w o nast臋puj膮cych rozszerzeniach: 

.rar
.pdf
.rtf
.mdb
.txt
.xls
.ppt
.doc

na wszystkich partycjach dysk贸w twardych: gdy robak znajdzie pliki o powy偶szych rozszerzeniach, skopiuje je do %System%ace emp. Nast臋pnie wydobywa ze swojego cia艂a narz臋dzie do archiwizowania plik贸w: 

%System%NtApi.exe

Wykorzystuje je do archiwizowania zawarto艣ci nast臋puj膮cego foldera: 

%System%ace	emp

Archiwa s膮 zapisywane w nast臋puj膮cym folderze: 

%System%aceudis

Zarchiwizowane pliki b臋d膮 mia艂y rozszerzenie .uda, a nazwy b臋d膮 pokrywa艂y si臋 z nazw膮 foldera, w kt贸rym zlokalizowane by艂y pierwotnie pliki z tymi rozszerzeniami.

Rozprzestrzenianie

Robak kopiuje sw贸j plik wykonywalny jako "Netsvcs.exe" do folder贸w g艂贸wnych wszystkich dysk贸w logicznych, przypisuj膮c atrybuty "Ukryty" lub "Systemowy" do tego pliku. Robak tworzy r贸wnie偶 plik o nazwie "autorun.inf" w folderze g艂贸wnym wszystkich partycji dysku twardego. Gdy partycja zostanie otwarta przy u偶yciu Windows Explorera, zostanie uruchomiony plik wykonywalny robaka. Robak tworzy r贸wnie偶 plik o nazwie "thumbs.db" w tym samym folderze co "autorun.inf" i zapisuje do tego pliku swoj膮 konfiguracj臋.

Robak tworzy folder o nazwie "System Volume Information" na dyskach przeno艣nych: 

System Volume Information

i kopiuje zawarto艣膰 poni偶szego foldera do tego foldera: 

%System%aceudis

tj. archiwa zawieraj膮ce dokumenty znalezione na zaatakowanym komputerze.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu robaka (mo偶e mie膰 nazw臋 "Netsvcs.exe").
  2. Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Zdaniem eksperta | Forum | Kontakt
Copyright © 2012 WirusPC.pl