Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Pila - umieszcza w systemie konia trojańskiego

Jest to robak internetowy mający postać skryptu napisanego w języku programowania VBS. Szkodnik rozsyła się przy użyciu programu MS Outlook w postaci zainfekowanych wiadomości e-mail oraz dodaje konia trojańskiego do plików klienta mIRC.

Po uruchomieniu skrypt robaka tworzy plik "platonico.txt", zapisuje do niego poniższy tekst i otwiera plik przy użyciu notatnika (NOTEPAD.EXE):

Satânico é o meu pensamento ao teu respeito e ardente é o meu desejo de apertar-te em minhas măos, uma sede de vingança incontestável pelo que me fizeste ontem.
A noite quente e calma chegara a ser angustiosa. Apareceste e nesta cama aconteceu...
Sorrateiramente te aproximaste...
Sem o mínimo pudor...
Encostaste o teu corpo sem roupa no meu corpo nú.
Percebendo a minha aparente indiferença, aconchegaste-te a mim, e mordeste-me sem escrúpulos até os mais íntimos lugares jamais tocados de meu casto corpo. E adormeci...
Hoje, quando acordei, procurei-te numa ânsia ardente, mas em văo..." Deixaste provas irrefutíveis do que ocorreu na noite que passou.
Grandes manchas no meu corpo e o alvo lençol salpicado de sangue. Esta noite recolho-me mais cedo para, na mesma cama te esperar.
Oh! Quando chegares, nem quero pensar com que perspicácia, avidez e força eu quero te pegar para que năo escapes mais de mim.
Em minhas măos quero apertar-te até o fim.
Năo haverá parte do teu corpo que os meus dedos năo passarăo.
Năo descansarei enquanto ver sair o sangue quente de teu corpo.

Só assim livrar-me-ei de ti PULGA MALDITA.

Następnie robak kopiuje się do pliku %WINDOWS%\explorer.dll.vbs i modyfikuje plik SYSTEM.INI dzięki czemu uruchamia się wraz z każdym startem programu EXPLORER.EXE.

Kolejnym krokiem robaka jest uruchomienie procedury rozprzestrzeniającej, która wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook. Wiadomości te wyglądają następująco:

Temat wybierany jest z poniższej listy:

  • Texto imperdível!
  • Texto muito engraçado!
  • O melhor texto que li nos últimos tempos...

Treść wiadomości:

................................................
OlĄ!!
NŁo posso falar muito sobre o texto porque se nŁo perde a gra§a, Š uma histăria de mor platänico... Achei muito engra§ado vale a pena!!
.... .... . ..... ..... .... . ... .....
..... .... .... . . .... ..... ....

Do każdej wiadomości załączona jest kopia robaka.

Po zakończeniu replikowania się robak tworzy swoją kopię (plik Pulga.txt.shs) w katalogu głównym każdego dostępnego dysku.

Następnie szkodnik zmienia kilka plików klienta mIRC dodając do nich konia trojańskiego, który umożliwia zdalnemu użytkownikowi przejęcie kontroli nad zainfekowanym komputerem.



 2001-10-30  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych