Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Sexer.b - podszywa się pod dział pomocy technicznej Kaspersky Lab

Jest to robak internetowy rozprzestrzeniający się przez internet jako plik KAVUtil.exe załączony do wiadomości e-mail. Szkodnik powstał przy użyciu środowiska programistycznego Delphi, a jego rozmiar to 310 KB (kompresja PKLite32).

Wysyłane przez robaka zainfekowane wiadomości posiadają następujące pola:

  • Adres nadawcy: support@kaspersky.com;
  • Temat: tekst w języku rosyjskim zawierający nazwę I-Worm.Sexer;
  • Treść: tekst w języku rosyjskim zawierający adres http://www.viruslist.com/viruslist.html;
  • Nazwa załącznika: KAVUtil.exe.

Tutaj można obejrzeć wiadomość.

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik.

Rozprzestrzenianie

Szkodnik kopiuje się do folderu Program Files\Common Files\System z nazwą KAVUtil.exe i tworzy w rejestrze systemowym klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KAVUtil = kavutil.exe

Następnie robak tworzy w folderze Program Files\Common Files\System plik KAV.bmp, po czym rejestruje go jako tapetę pulpitu Windows. Obrazek KAV.bmp wygląda następująco:

Sexer wysyła swoje kopie do wszystkich użytkowników zapisanych w książce adresowej Windows. Robak wykorzystuje bezpośrednie połączenie z serwerem SMTP.



 2003-10-24  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych