Reklama

Wirus Pawur

Firma Kaspersky Lab poinformowała o wykryciu wirusa Pawur. Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 51 KB (kompresja UPX, rozmiar po rozpakowaniu - około 70 KB). Po uruchomieniu robak może wyświetlać poniższy tekst:

Error interno

Documento interno danado, reinstale la aplication asociada para poder visualizarlo

Mas informacion http:/ /www.microsoft.com El programa so cerrara.

Robak kopiuje się do folderu \Windows\System z nazwą Command.pif i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

'Messenger6' = "%System%\command.pif"

Następnie szkodnik tworzy w folderze \Windows\System pliki Paula.pif oraz Svchosl.pif i uruchamia je. Dla drugiego pliku tworzony jest klucz rejestru systemowego:

Reklama

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"Svchost"="%System%\svchosl.pif"

Po uruchomieniu pliku Paula.pif w folderze \Windows\System tworzone są następujące pliki:

ss.exe

sz.exe

sx.exe

sw.exe

m.zip

Pierwszy plik to "żart", drugi zawiera niegroźny program, trzeci i czwarty to składniki robaka, natomiast piąty plik zawiera kopię szkodnika. Adresy potencjalnych ofiar pobierane są z zainfekowanego komputera. W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Temat maila z wirusem zaczyna się od "re" i ma nazwę po hiszpańsku. Jest wybierany z poniższych możliwości:

re:Crees que puede ser verdad?

re:Amor verdadero

re:xD no me lo puedo creer!!

re:Dejate de rollos y viv

re:Psicolog

re:Neptuno y Mercurio

re:La Luna

re:Voodoo un tanto ps...

re:Eso con queso rima con...xD

re:Como el aire...

Treść maila również jest po hiszpańsku, a nazwa załącznika wybierana jest z poniższych możliwości:

D-Incognito.zip

Love-Me.zip

EL_rechazo.zip

My life(Mi vida).zip

Psiquico-Mix.zip

Planetario.zip

Moon(Luna).zip

Voodoo!.zip

Rimaz.zip

Para-Brisas.zip

Robak próbuje usuwać z dysku pliki o rozszerzeniach:

.asm .asp .bat .bdsproj .bmp .c .css .doc .dot .dpr .gif .h .htm .html .inf .ini .iso .jpeg .jpg .log .mdb .mp3 .msi .nfm .nrg .pas .pcx .pdf .php .ppt .rar .reg .rpt .txt .vb .vbs .wav .xls

INTERIA.PL

Reklama

Dowiedz się więcej na temat: Microsoft | pliki | wirus | robak

Reklama

Reklama

Reklama

Reklama

Strona główna INTERIA.PL

Polecamy

Dziś w Interii

Raporty specjalne

Rekomendacje