Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Atirus - działa przez cały tydzień

Jest to robak Win32, który rozprzestrzenia się w postaci wiadomości e-mail wysyłanych do wszystkich użytkowników zapisanych w książce adresowej programu Outlook.

Po uruchomieniu na "czystym" komputerze robak tworzy swoją kopię z nazwą %SYSTEM%\Setup30.exe i dodaje do rejestru klucz autostart, który zapewnia mu uruchomienie wraz z każdym startem Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kernel Setup=%SYSTEM%\Setup30.exe

Następnie robak pozostaje w uśpieniu przez 5 minut, po czym w zależności od daty systemowej uruchamia jedną z pięciu procedur:

  • Poniedziałek: wyszukuje i usuwa robaka I-Worm.Badtrans;
  • Wtorek: przywraca domyślne wartości w pliku Win.ini i modyfikuje klucz rejestru: HKCR\exefile\shell\open\command Default value="%1" %*;
  • Środa: wyszukuje i usuwa robaka I-Worm.PrettyPark;
  • Czwartek: usuwa następujące pliki: c:\mirc\mirc.ini, c:\mirc\script.ini, c:\mirc32\mirc.ini, c:\mirc32\script.ini, c:\irc\mirc.ini, c:\irc\script.ini, c:\chat\mirc.ini, c:\chat\script.ini, c:\progra~1\mirc\mirc.ini, c:\progra~1\mirc\script.ini, c:\progra~1\mirc32\mirc.ini, c:\progra~1\mirc32\script.ini, c:\progra~1\irc\mirc.ini, c:\progra~1\irc\script.ini;
  • Piątek: wyszukuje i usuwa robaka I-Worm.Sircam.c;
  • Sobota: przywraca domyślne wpisy w pliku System.ini;
  • Niedziela: wyszukuje i usuwa wszystkie pliki posiadające rozszerzenia VBS zapisane w katalogu Windows oraz systemowym Windows.

16 września robak wyświetla poniższą wiadomość:

--
Antivirus
--
System protected by I-Worm.Antivirus
Copyright (c) 2001 by aLL3gRo
--

Po uruchomieniu jednej z powyższych procedur, robak sprawdza czy w rejestrze istnieje klucz:

HKLM\Software\Microsoft\Windows\CurrentVersion Install=1

Jeżeli klucz taki nie istnieje robak próbuje wysłać swoje kopie do nadawców wiadomości zapisanych w folderach domyślnego klienta poczty elektronicznej.

Temat wysyłanej przez wirusa to "New antivirus tool", załączony plik ma nazwę "Antivirus.exe", natomiast treść wiadomości jest następująca:

Hey, checkout this new antivirus tool which checks your system for viruses



 2001-10-22  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych