15 listopada 2004

UWAGA! I-Worm.Bofra.d

Jest to klon robaka I-Worm.Bofra.a. Rozprzestrzenia się przez Internet za pośrednictwem wiadomości e-mail. Zainfekowany e-mail nie zawiera kopii robaka, lecz wyłącznie odsyłacz do pliku znajdującego się na komputerze, z którego wysłano wiadomość. Plik ten uruchamiany jest na atakowanym komputerze za pośrednictwem luki w zabezpieczeniach przeglądarki Internet Explorer. Szkodnik wyposażony jest w procedurę backdoor, która może być kontrolowana za pośrednictwem kanałów IRC.

Wszystkie funkcje robaka są identyczne, jak w przypadku jego pierwowzoru - I-Worm.Bofra.a.

Jedyną różnicą jest klucz tworzony przez robaka w rejestrze systemowym:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Reactor9" = "%System%\32.exe"

Dodatkowo robak usuwa z rejestru systemowego następujące wpisy:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"center", "reactor", "Rhino", "Reactor3", "Reactor4", "Reactor5", "Reactor6", "Reactor7, "Reactor8"