Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Protex - ukrywa się w rejestrze systemowym

Jest to robak rozprzestrzeniający się przez interent jako archiwum PROTECT.ZIP załączone do zainfekowanej wiadomości e-mail. Szkodnik ma postać pliku PE EXE o rozmiarze około 10 KB. Załączone archiwum zawiera kopię robaka o nazwie "ProTecT.exe".

Zainfekowane wiadomości wysyłane przez robaka wyglądają następująco:

Od: boletin@viralert.net
Temat: ProTeccion TOTAL contra W32/Bugbear (30dias)
Nazwa załącznika: PROTECT.ZIP

Treść wiadomości jest pusta.

Szkodnik aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji robak kopiuje się z nazwą "PrTecTor.exe" do systemowego folderu Windows i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
XRF = %SystemDir%\PrTecTor.exe

Następnie wirus wyświetla okno zawierające następujący komunikat:

PrTecTor
Su Pc <-_NO_-> fue infectado por el W32/Bugbear
ProTecTor sera operativo durante 30dias pasado ese tiempo debera ReGistrar su copia siguiendo las instrucciones att::staff
[ OK ]

Ukrywanie klucza rejestru systemowego

Robak kopiuje się z nazwą "regedit.exe" do folderu Windows i tworzy "backup" oryginalnego pliku REGEDIT.EXE z nazwą "m_regedit.exe".

Gdy użytkownik uruchomi program REGEDIT, szkodnik przejmuje kontrolę, usuwa własny wpis "Run" z rejestru systemowego, po czym uruchamia oryginalny Edytor Rejestru z pliku "m_regedit.exe". Po zamknięciu Edytora Rejestru robak reinstaluje się (włącznie z wpisem w rejestrze systemowym).

W rezultacie wykrycie wpisu szkodnika nie jest możliwe przy użyciu Edytora Rejestru.

Rozprzestrzenianie

Robak pobiera kontakty "ofiar" z książki adresowej Windows (plik WAB). W celu wysyłania zainfekowanych wiadomości wykorzystywane jest bezpośrednie z domyślnym serwerem SMTP.

W procedurach rozprzestrzeniających występują błędy i z tego powodu szkodnik może mieć problemy z wysyłaniem wiadomości przy użyciu serwerów SMTP, które są w pełni zgodne ze standardami RFC.

Podczas wysyłania zainfekowanych wiadomości robak tworzy następujące pliki w folderze systemowym Windows:

  • m_WAB.XRF - lista adresów "ofiar"
  • m_Base64.xrf - plik ZIP robaka w formacie MIME
  • m_prgrm.zip - plik ZIP robaka

Funkcja dodatkowa

Począwszy od 1 stycznia 2003 robak restartuje komputer.

Usuwanie robaka

Aby pozbyć się szkodnika z systemu należy wykonać następujące czynności:

  • Uruchomić plik "m_regedit.exe" znajdujący się w folderze Windows (jest to oryginalny plik Edytora Rejestru).
  • Usunąć klucz "Run" utworzony przez robaka w rejestrze systemowym (patrz powyżej).
  • Uruchomić ponownie komputer i usunąć następujące pliki zapisane w systemowym folderze Windows:
    • PrTecTor.exe
    • m_WAB.XRF
    • m_Base64.xrf
    • m_prgrm.zip
  • Otworzyć folder Windows, usunąć plik "regedit.exe" i zmienić nazwę pliku "m_regedit.exe" na "regedit.exe".


 2002-12-06  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych