Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Buzill - usuwa pliki

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanej wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 30 KB (istnieje również wersja spakowana o rozmiarze około 16 KB) i powstał przy pomocy języka programowania Visual Basic.

Temat zainfekowanych wiadomości jest pusty lub losowo wybierany spośród następujących możliwości:

  • Re:
  • Fwd:
  • Hi!
  • New Email Address
  • Virus Alert
  • Happy Birthday!
  • CNN Breaking News
  • LOL
  • =)
  • New Windows Exploit
  • New Internet Explorer Exploit
  • I Love You!
  • Important Message From Microsoft
  • Where Are You?

Treść wiadomości wygląda następująco:

Here is the file I told you about. Dont tell anybody.Shhhhhhhh ;)

Nazwa załącznika jest wybierana losowo spośród następujących wariantów:

gresge.exe     slfklsbsklf.exe  hsldnlg.exe
bsdkskshf.exe  qewlwlef.exe     qfdsdjl.exe
nlddoe.exe     vdngdg.exe       fsdhhgdd.exe
nfkrjhgr.exe   lsjsdf.exe       pqweopwrore.exe
wrretert.exe   pjlfdg.exe       nnbvcncld.exe  

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji robak kopiuje się do folderu głównego dysku C: z losowo wybraną nazwą (szkodnik korzysta z powyższej listy). Następnie w rejestrze systemowym tworzony jest klucz auto-run, zapewniający wirusowi uruchamianie wraz z każdym startem systemu operacyjnego:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BuzzKill = %nazwa pliku robaka%

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje program MS Outlook oraz jego książkę adresową.

Funkcje dodatkowe

14 lutego robak wyświetla komunikat:

IWorm.BuzzKill
Happy Birthday Joshua!!

i usuwa wszystkie pliki zapisane w głównym folderze dysku C:.



 2002-12-30  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych