Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Potar - pobiera adresy e-mail ze stron WWW

Jest to robak rozprzestrzeniający się przez internet jako plik załączony do wiadomości e-mail. Szkodnik ma postać pliku PE EXE o rozmiarze około 202 KB (około 500 KB po rozpakowaniu) i został stworzony przy pomocy środowiska programistycznego Delphi.

Zainfekowane wiadomości wyglądają następująco:

Od: mariya@mail.ru
Temat: Masha

Treść:

Privet!!! Izvini chto tak dolgo ne pisala. Poteryala tvoy adres. No Irina dala mne ego.
Vot Fotka, kotoru ti prosil. Gdu otveta. Tvoya Masha.

Nazwa załącznika: PhotoRar.exe

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwa "PhotoRar.exe" i tworzy dla tej kopii klucz w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kernell32Dll = %windir%\PhotoRar.exe

Następnie szkodnik wyświetla komunikat o wystąpieniu błędu.

Ponadto robak tworzy plik "supafly.dat" w folderze Windows i zapisuje do niego tekst:

Salam vsem IZ AFRIKI. OSOBENNIY PRIVET GREEN13 v Bishkeke !!!

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje domyślny serwer SMTP. Adresy "ofiar" pobierane są z następujących stron WWW:

  • http://forum.rol.ru
  • http://www.studio.by
  • http://diesel.elcat.kg


 2002-12-17  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych