Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Newpic - szczegółowy opis nowego robaka

Jest to robak internetowy rozprzestrzeniający się przy użyciu programu MSN Messenger. Wirus ma postać uruchamialnego (EXE) pliku systemu Windows o rozmiarze około 50 KB i został napisany w języku programowania VisualBasic.

Gdy zainfekowany plik zostanie uruchomiony robak wyświetla komunikat:

Error
Cannot open file. May be corupted. Replace the file with a new
one and try again.

Następnie szkodnik dodaje swój klucz do rejestru systemowego:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSN Messenger = %nazwa_pliku%

gdzie %nazwa_pliku% jest pełną nazwą pliku, z którego robak został uruchomiony.

Szkodnik czeka na przychodzące wiadomości, odpowiada na nie tekstem:

hey, want me to send my new pic?
i took it yesterday

i czeka na odpowiedź użytkownika. Jeśli zawiera ona następujące słowa:

sure
yes
yea
guess
ok
send
maybe
go

robak wysyła do "ofiary" swoją kopię (plik EXE) oraz losowo wybrany tekst:

alright, here ya go
i hope you like it
there
pweese? :)
ok cool

Ponadto robak tworzy plik "C:\Messenger1324\Brain\1Read Me.txt" i zapisuje w nim poniższy tekst:

I come in piece. My name is Jerry.
The purpose of me is to spread. I'm not annoying, nor dangerous.
How to remove me:
1) Click Start, select Run. The Run dialog box pops up.
2) Type: msconfig The System Configuration Utility pops up.
3) Click the Startup tab at the top. In the list, find MsgSprd, Messenger, or pic1324, uncheck, press Apply, then press Ok.
4) Restart your computer Or press Ctrl - Alt - Del, select MsgSprd from the list, then press End Task.
You may freely delete the files or the 'C:\Messenger1324' directory.



 2001-08-21  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych