Wiadomości:
Nowy uciążliwy robak pocztowy
utworzono: 22-08-2007
Autor: Dziennik Internautów - mm
Producenci oprogramowania antywirusowego ostrzegają przed nowym robakiem. Kadebe - po zarażeniu komputera - nie tylko masowo rozsyła się za pomocą poczty elektronicznej i blokuje dostęp do niektórych stron internetowych, ale też kasuje pliki i wyłącza aplikacje zabezpieczające system.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [fałszywy adres]

Temat: [jeden z poniższych]

Mail server upgrading info.
Attention! Your Internet account has been...
Don't send this to me again!
I'm still waiting for your reply...
Attention!
Internet Explorer 7.0 on the row!!
Urgent! Symantec Security Response.
I have received your mail.
Sign a petition for Micael Jackson

Załącznik: [nazwa].cab

MyPicture
replied
BinaryFormat
MicrosoftIE7.0Documentation
Patch
YourMail
TempAccountInfo
NeedHelp

Po uruchomieniu pliku załącznika Kadebe tworzy na dysku kilka swoich kopii o następujących nazwach:

winssc32.exe
mscppdmg.exe
kernel32hlp.exe
NAVctrl.exe
dwrdgr32.exe
gcasctrl.exe
AVmon.exe
winxplt.exe
gcasAV32.exe
LUCOMS~2.EXE
zlbclient.exe

Modyfikuje przy tym rejestr, by móc się automatycznie uruchamiać przy każdym starcie systemu Windows. Następnie robak próbuje wyłączyć zainstalowane na zarażonym komputerze oprogramowanie antywirusowe i firewall.

Później kasuje pliki takich programów, jak ZoneAlarm, Microsoft AntiSpyware i Norton AntiVirus. Wprowadza też zmiany do pliku Hosts, blokując tym samym dostęp do stron internetowych producentów "antywirusów" i firewalli.

Cechą charakterystyczną robaka jest wyświetlanie komunikatu o następującej treści:

Error: 4047
Invalid procedure call at this time.
Press OK to terminate.

Na zakończenie Kadebe przeszukuje dyski twarde komputera, pobierając adresy e-mail z plików o następujących rozszerzeniach:

HTM, WAB, HTML, EML, TXT,
DOC, RTF, PHP, ABC, DHTML,
JS, XHHM, STM, VCF, ASP.

Wysyła na nie swoje kopie, używając własnego silnika SMTP. Próbuje też rozprzestrzeniać się w sieciach lokalnych, tworząc w udostępnionych zasobach pliki o następujących nazwach:

Naked teen-Actions.com
Norton AntiVirus 2006 Crack.exe
ZoneAlarm Security Suite 2005 Crack.com
Win Server 2003 Remote Exploit.cmd
Microsoft AntiSpyware Crack.com
DVD to MP3 converter.exe
Admini PAssword Cracker.exe

Aby usunąć robaka, należy uaktualnić program antywirusowy i przeprowadzić kompleksowe skanowanie systemu.
Źródła
di.com.pl
Komentarze
Brak komentarzy