Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Lovelorn.a - infekuje pliki wykonywalne

Jest to robak rozprzestrzeniający się przez internet za pośrednictwem poczty elektronicznej. Zainfekowany plik ma postać aplikacji PE EXE o rozmiarze około 100 KB i powstał przy użyciu języka programowania C++.

Zainfekowane wiadomości mogą wyglądać następująco:

  • Temat:
    Re:baby!your friend send this file to you !

    Treść:

    Read this file
  • Temat:
    HELP??-

    Treść:

    Help...
  • Temat:
    Re:Get Password mail...

    Treść:

    Enjoy
  • Temat:
    There're some Passwords here

    Treść:

    Read File attach
  • Temat:
    Re:Binladen_Sexy.jpg

    Treść:

    run File Attach to extract:BinladenSexy.jpg...
  • Temat:
    The Sexy story and 4 sexy picture of BINLADEN !

    Treść:

    Enjoy! BINLADEN:SEXY..
  • Temat:
    Re:I Love You...OKE!

    Treść:

    Souvenir for you from file attach...
  • Temat:
    A Greeting-card for you.

    Treść:

    See the Greeting-card.
  • Temat:
    Re:Kiss you..^@^

    Treść:

    Read file attach
  • Temat:
    Guide to ...

    Treść:

    I like Sexy with you.
  • Temat:
    Re:Baby! 2000USD,Win this game...

    Treść:

    Play the game from file attach
  • Temat:
    Help

    Treść:

    Help.

Nazwa załącznika jest generowana losowo i może posiadać następujące rozszerzenia:

  • KISS,
  • OK,
  • EXE,
  • HTM.

Pole zawierające adres zwrotny nadawcy jest sfałszowane.

Instalacja

Po uruchomieniu robak kopiuje tworzy własne kopie w folderze systemowym Windows:

  • Explorer.exe;
  • Kernel32.exe;
  • Netdll.dll;
  • Serscg.dll.

Następnie szkodnik tworzy pliki Setup.hrm, Bsbk.dll oraz Netsn.dll, które zawierają kod w formacie MIME, a także plik Findfast.exe w folderze Startup.

Robak zapewnia sobie uruchamianie wraz z każdym startem systemu operacyjnego tworząc w rejestrze klucz auto-run:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
explorer=%System%\explorer.exe
.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są w plików DBX oraz HTM znajdujących się na zainfekowanym komputerze. Znalezione kontakty gromadzone są przez robaka w pliku Mssys.dll. W celu wysyłania zarażonych wiadomości e-mail szkodnik wykorzystuje własny silnik SMTP.

Rozprzestrzenianie - dyskietki

Szkodnik kopiuje się z nazwą NQH_Kiss_you.exe na nośnik umieszczony w napędzie A:.

Infekowanie plików

Robak posiada możliwość infekowania aplikacji PE, poprzez dopisywanie własnego kodu do nagłówków plików.



 2003-12-04  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych