Reklama

Kolejna mutacja MyDooma

Pojawiła się kolejna mutacja znanego wirusa - MyDoom.ae - informuje Kaspersky Lab. Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci wymiany plików (P2P). Ma postać pliku PE EXE o rozmiarze około 32 KB (kompresja UPX, rozmiar po rozpakowaniu - około 83 KB).

Po uruchomieniu robak otwiera Notatnik wchodzący w skład systemu Windows (notepad.exe) i wyświetla w nim losowe znaki. Następnie szkodnik kopiuje się do foldera \Windows\System z nazwą lasasrv.exe i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego: "lsass" = "%System%\lsasrv.exe" [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "explorer.exe %System%\lsasrv.exe" Dodatkowo szkodnik tworzy w folderze \Windows\System pliki: version.ini hserv.sys i dopisuje w katalogu %System%\drivers\etc\hosts tekst z adresami firm zajmujących się walką z wirusami. Użytkownik zainfekowanego komputera nie będzie mógł otwierać powyższych stron WWW. Dodatkowo wirus zamyka wszystkie procesy otwarte przez programy antywirusowe. Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej Windows oraz z zainfekowanych przez robaka plików Wirus przychodzi jako załącznik w mailu o losowo wybieranym temacie i treści (jedną z tych treści jest... ostrzeżenie przed wirusem!). Załączniki mają następujące nazwy: body data doc docs document file message readme rules Robak kopiuje się też do folderów współdzielonych programów KaZaa, Morpheus, iMesh, Edonkey, LimeWire.

Reklama

INTERIA.PL

Reklama

Dowiedz się więcej na temat: robak | mutacja

Reklama

Reklama

Reklama

Reklama

Strona główna INTERIA.PL

Polecamy

Rekomendacje