Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Chet - niegroźny robak

Jest to robak rozprzestrzeniający się poprzez internet jako załącznik zainfekowanej wiadomości e-mail. Szkodnik ma postać pliku PE EXE o rozmiarze około 27 KB i został stworzony przy pomocy środowiska programistycznego Microsoft Visual C++.

Zainfekowane wiadomości wyglądają następująco:

Od: main@world.com
Do: You
Temat: All people!!
Załącznik: 11september.exe
Treść:

Dear ladies and gentlemen!
The given letter does not contain viruses, and is not Spam. We ask you to be in earnest to this letter. As you know America and England have begun bombardment of Iraq, cause of its threat for all the world. It isn't the truth. The real reason is in money laundering and also to cover up traces after acts of terrorism September, 11, 2001. Are real proofs of connection between Bush and Al-Qaeda necessary for you? Please! There is a friendly dialogue between Bin Laden and the secretary of a state security of USA in the given photos. In the following photo you'll see, how FBI discusses how to strike over New York to lose people as much as possible. And the document representing the super confidential agreement between CIA and Al-Qaeda is submitted to your attention. All this circus was specially played to powder brains!! You'll find out the truth. Naked truth, instead of TV showed. For your convenience, and to make letter less, all documentary materials (photos and MS Word documents) are located in one EXE file. Open it, and all materials will installed on your computer. You will receive the freshest and classified documents automatically from our site. It isn't a virus! You can trust us absolutely. We hope, that it will open your eyes on many things occurring in this world.

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji szkodnik kopiuje się do systemowego folderu Windows z nazwą "synchost1.exe" i tworzy klucz auto-run w rejestrze systemowym:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ICQ1 = %SystemDir%\synchost1.exe

Oryginalny plik robaka (z którego został on uruchomiony) jest usuwany.

Rozprzestrzenianie

Robak wysyła wiadomości e-mail do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook, wykorzystując bezpośrednie połączenie z serwerem SMTP "mail.ru".

Informacje dodatkowe

Szkodnik wysyła do swojego twórcy dwie wiadomości. Pierwsza z nich wysyłana jest przed rozpoczęciem rozprzestrzeniania, natomiast druga natychmiast po zakończeniu wysyłania zainfekowanych wiadomości. Wysyłane wiadomości posiadają tematy "Otchet from user" oraz "Otchet2 from user". Treść wiadomości zawiera listę adresów "ofiar" oraz pełną nazwę pliku EXE robaka.



 2002-09-11  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych