Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Buchon.b

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 31 KB.

Instalacja

Po uruchomieniu robak tworzy w folderze głównym dysku C: plik csrss.exe, po uruchomieniu którego szkodnik wykonuje następujące operacje:

  • tworzy w rejestrze systemowym klucz auto-run zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "Key Logger"="C:\csrss.exe"

  • tworzy plik c:\csrss.bin, w którym zapisywane są raporty z funkcjonowania szkodnika,
  • uruchamia funkcję pozwalającą na zdalne pobieranie plików z Internetu.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z plików zawierających następujące rozszerzenia:

DAT 
DBX 
EML 
MBX 
MDB 
TBB 
WAB

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

  • Adres nadawcy: losowy
  • Temat:
    Mail Delivery failure

  • Nazwa załącznika (wybierana z poniższych możliwości):
    message txt
    mcafee.com
    

  • Treść (wybierana z poniższych możliwości):
    If the message will not displayed automatically, 
    you can check original in attached message.txt.
    
    Failed message also saved at: 
    www.$HOST$/inbox/security/read.asp?sessionid-23368
    
    (check attached instructions)
    +++ Attachment: No Virus found
    +++ MC-Afee AntiVirus - www.mcafee.com
    

Inne znane nazwy szkodnika

W32/Buchon.gen@MM (McAfee),   W32.Buchon.A@mm (Symantec),   Win32.HLLM.Netsky.61984 (Doctor Web),   W32/Netsky-AE (Sophos),   Win32/Buchon.B@mm (RAV),   WORM_BUCHON.B (Trend Micro),   Worm/Buchon.B (H+BEDV),   W32/Buchon.B@mm (FRISK),   Win32:Buchon-B (ALWIL),   I-Worm/Buchon.B (Grisoft),   Win32.Netsky.AF@mm (SOFTWIN)



 2004-11-15  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych