24 października 2003

I-Worm.Sexer.b - podszywa się pod dział pomocy technicznej Kaspersky Lab

Jest to robak internetowy rozprzestrzeniający się przez internet jako plik KAVUtil.exe załączony do wiadomości e-mail. Szkodnik powstał przy użyciu środowiska programistycznego Delphi, a jego rozmiar to 310 KB (kompresja PKLite32).

Wysyłane przez robaka zainfekowane wiadomości posiadają następujące pola:

  • Adres nadawcy: support@kaspersky.com;
  • Temat: tekst w języku rosyjskim zawierający nazwę I-Worm.Sexer;
  • Treść: tekst w języku rosyjskim zawierający adres http://www.viruslist.com/viruslist.html;
  • Nazwa załącznika: KAVUtil.exe.

Tutaj można obejrzeć wiadomość.

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik.

Rozprzestrzenianie

Szkodnik kopiuje się do folderu Program Files\Common Files\System z nazwą KAVUtil.exe i tworzy w rejestrze systemowym klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KAVUtil = kavutil.exe

Następnie robak tworzy w folderze Program Files\Common Files\System plik KAV.bmp, po czym rejestruje go jako tapetę pulpitu Windows. Obrazek KAV.bmp wygląda następująco:

Sexer wysyła swoje kopie do wszystkich użytkowników zapisanych w książce adresowej Windows. Robak wykorzystuje bezpośrednie połączenie z serwerem SMTP.