Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Cuervo - posiada dwie metody rozprzestrzeniania się

Jest to robak internetowy infekujący komputery nie posiadające zainstalowanej łaty usuwającej lukę w zabezpieczeniach zwaną Scriptlet.TypeLib, pracujące pod kontrolą systemu Windows 9x z zainstalowaną przeglądarką Internet Explorer 5.0. Robak rozprzestrzenia się poprzez pocztę elektroniczną wysyłając zainfekowane wiadomości przy użyciu programu MS Outlook oraz jego książki adresowej. Szkodnik posiada także dodatkową procedurę rozprzestrzeniającą, która nie korzysta z Outlook'a.

Wirus dociera do komputera jako zainfekowana wiadomość e-mail w formacie HTML. Temat wiadomości może być różny, natomiast jej treść nie posiada widocznego tekstu (treść wiadomości to skrypt robaka).

W momencie otwarcia wiadomości lub podczas wyświetlania jej w okienku poglądu, skrypt aktywuje kod robaka. Podczas tej operacji na ekranie komputera może pojawić się wiadomość ostrzegająca przed niebezpieczną kontrolką ActiveX. Jeżeli użytkownik kliknie na przycisku [NIE] robak nie uruchomi się.

Po uruchomieniu szkodnik dzieli się na części i zapisuje je w plikach na dysku, po czym wykorzystuje je do rozprzestrzeniania się. Podczas tworzenia zainfekowanej wiadomości robak wybiera losowo temat jednej z wiadomości znajdujących się w skrzynce odbiorczej Outlook'a. Szkodnik załącza do wiadomości plik HTML zawierający jego własny kod. Nazwa pliku wybierana jest spośród załączników wiadomości znajdujących się w skrzynce odbiorczej. Robak dodaje do tej nazwy ciąg "(9 Kbytes).vbs". Zatem zainfekowana wiadomość zawiera zdublowany kod wirusa - w treści oraz w załączniku.

Wirus dodaje swój kod do wszystkich podpisów wykorzystywanych przez program MS Outlook, w wyniku czego każda wysyłana wiadomość będzie infekowana.

Szkodnik ustawia stronę startową programu Internet Explorer na czystą. Następnie po upłynięciu czterech dni od momentu zainfekowania komputera adres tej strony zmieniany jest na http://www.freedonation.com.

Robak posiada alternatywną metodę rozprzestrzeniania się, która nie wymaga obecności programu MS Outlook. Procedura ta wyszukuje na lokalnym dysku pliki posiadające rozszerzenia "txt", "na2","wab", "mbx", "dbx" oraz "dat" (są to zazwyczaj pliki zawierające pocztowe bazy danych), po czym pobiera z nich adresy e-mail. Wyszukane adresy są następnie wysyłane (przy użyciu formularza HTML) na stronę internetową twórcy robaka. Specjalny skrypt umieszczony na tej witrynie wysyła zainfekowane wiadomości bezpośrednio pod wszystkie otrzymane adresy.



 2001-09-01  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych