Wirus Pawur
Firma Kaspersky Lab poinformowała o wykryciu wirusa Pawur. Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 51 KB (kompresja UPX, rozmiar po rozpakowaniu - około 70 KB). Po uruchomieniu robak może wyświetlać poniższy tekst:
Error interno
Documento interno danado, reinstale la aplication asociada para poder visualizarlo
Mas informacion http:/ /www.microsoft.com El programa so cerrara.
Robak kopiuje się do folderu \Windows\System z nazwą Command.pif i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
'Messenger6' = "%System%\command.pif"
Następnie szkodnik tworzy w folderze \Windows\System pliki Paula.pif oraz Svchosl.pif i uruchamia je. Dla drugiego pliku tworzony jest klucz rejestru systemowego:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Svchost"="%System%\svchosl.pif"
Po uruchomieniu pliku Paula.pif w folderze \Windows\System tworzone są następujące pliki:
ss.exe
sz.exe
sx.exe
sw.exe
m.zip
Pierwszy plik to "żart", drugi zawiera niegroźny program, trzeci i czwarty to składniki robaka, natomiast piąty plik zawiera kopię szkodnika. Adresy potencjalnych ofiar pobierane są z zainfekowanego komputera. W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.
Temat maila z wirusem zaczyna się od "re" i ma nazwę po hiszpańsku. Jest wybierany z poniższych możliwości:
re:Crees que puede ser verdad?
re:Amor verdadero
re:xD no me lo puedo creer!!
re:Dejate de rollos y viv
re:Psicolog
re:Neptuno y Mercurio
re:La Luna
re:Voodoo un tanto ps...
re:Eso con queso rima con...xD
re:Como el aire...
Treść maila również jest po hiszpańsku, a nazwa załącznika wybierana jest z poniższych możliwości:
D-Incognito.zip
Love-Me.zip
EL_rechazo.zip
My life(Mi vida).zip
Psiquico-Mix.zip
Planetario.zip
Moon(Luna).zip
Voodoo!.zip
Rimaz.zip
Para-Brisas.zip
Robak próbuje usuwać z dysku pliki o rozszerzeniach:
.asm .asp .bat .bdsproj .bmp .c .css .doc .dot .dpr .gif .h .htm .html .inf .ini .iso .jpeg .jpg .log .mdb .mp3 .msi .nfm .nrg .pas .pcx .pdf .php .ppt .rar .reg .rpt .txt .vb .vbs .wav .xls