Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Moncher - nadpisuje plik AUTOEXEC.BAT procedurą formatującą dysk C:

Jest to robak internetowy rozprzestrzeniający się jako załącznik do wiadomości e-mail. Wirus jest uruchamialnym plikiem Win32 o rozmiarze około 37kB napisanym w języku programowania VisualBasic. Szkodnik może się również rozprzestrzeniać poprzez kanały IRC.

Gdy plik robaka zostanie uruchomiony, szkodnik rejestruje się w systemie aby zapewnić sobie uruchamianie wraz z każdym startem Windows. Aby ukryć swoją instalację w systemie szkodnik wyświetla fałszywe wiadomości:

INSTALL
Install complete.

ERROR!
Unable to run program!

Podczas instalacji w systemie robak kopiuje się do katalogu Windows z nazwą WINHLP.EXE, tworzy skrypt VBS OUTLOOKHELP.VBS i dodaje się do sekcji auto-run rejestru systemowego:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
WinProfile = %WinDir%\winhlp.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
OutlookProfile = %WinDir%\outlookhelp.vbs

gdzie %WinDir% jest nazwą katalogu systemu Windows.

Pierwszy plik (EXE) zawiera główny kod robaka, natomiast plik drugi (VBS) służy do wysyłania zainfekowanych wiadomości.

Po uruchomieniu, skrypt VBS łączy się z programem MS Outlook, pobiera kontakty z jego książki adresowej i wysyła zainfekowane wiadomości o następującym formacie:

Temat:With Love
Treść: Whit all my love for you. :)
Załączony plik: Winhlp.exe or MonCherry.zip

Dodatkowo szkodnik atakuje klienta mIRC jeśli jest on zainstalowany w katalogu C:\MIRC. Wirus dopisuje do pliku SCRIPT.INI skrypt, który wysyła zarażony plik WINHLP.EXE do każdego użytkownika przyłączającego się do zainfekowanego kanału IRC.

13 stycznia robak nadpisuje plik C:\AUTOEXEC.BAT programem wsadowym, który formatuje dysk C: po restarcie komputera.



 2001-06-05  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych