20.04.04

WORM_MIMAIL.V

lub WORM_MIMAIL.V, Win32/GenWorm!p2p

Ten rezydentny robak rozprzestrzenia się poprzez sieci peer-to-peer. Po zainfekowaniu komputera tworzy pliki.
Modyfikuje w rejestrze systemowym następujące wpisy pozwalające na automatyczne uruchamianie robaka podczas startu systemu Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run = "%System%\plik"
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunOnce = "%System%\plik"
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunOnceEx = "%System%\plik"

Infekowanie:


Infekcja przez sieci peer-to-peer. Kopiuje się do następujących udostępnionych katalogów:
  • C:\Program Files\Bearshare\Shared\
  • C:\Program Files\eDonkey2000\Incoming\
  • C:\Program Files\eMule\Incoming\
  • C:\Program Files\Grokster\My Grokster\
  • C:\Program Files\ICQ\Shared Folder\
  • C:\Program Files\Kazaa Lite K++\My Shared Folder
  • C:\Program Files\Kazaa Lite\My Shared Folder\
  • C:\Program Files\Kazaa\My Shared Folder\
  • C:\Program Files\LimeWire\Shared\
  • C:\Program Files\Morpheus\My Shared Folder\
  • C:\Program Files\Tesla\Files\
  • C:\Program Files\WinMX\Shared\

Możliwe nazwy plików:
  • 2004 Child Porn.exe
  • All stars porn collection.exe
  • All Windows Service
  • AOL Instant Messenger (AIM)
  • AOL Password
  • Britney Naked.exe
  • Britney Porn.exe
  • Britney Spears
  • Britney Spears.exe
  • Cracker.exe
  • Email Cracker.exe
  • FTP Cracker.exe
  • Hacker.exe
  • Hotmail Cracker.exe
  • Hotmail Hacker.exe
  • ICQ Cracker.exe
  • ICQ Hacker.exe
  • Kaspersky Anti-Hacker 2004.exe
  • Kaspersky Antivirus 2004 downloader.exe
  • Keylogger.exe
  • Last Exploits.exe
  • Last Porn Collection.exe
  • Microsoft Office 2004 downloader.exe
  • Microsoft Office KeyGen.exe
  • Microsoft Windows KeyGen.exe
  • mp3.exe
  • MSN Password Cracker.exe
  • Outlook Password Cracker.exe
  • Packs.exe
  • Password Cracker.exe
  • Password Hacker.exe
  • Serials collection 2004.exe
  • Website Hacker.exe
  • Windows 2003 all service packs.exe
  • Windows 2003 full downloader.exe
  • Windows 9x_nt_xp_2k
  • Windows Longhorn downloader.exe
  • WinRar 2004.exe
  • WinRar 3.30.exe
  • WinZip 2004.exe
  • World Trade Center Photos.exe
  • World Trade Center.exe
  • Yahoo Cracker.exe
  • Yahoo Hacker.exe
  • Zone Alarm 2004 firewall.exe

Szkody

Tworzy na dysku zainfekowane pliki. Zapisywane pliki mają następujące nazwy:

  • %System%\NBI.HTM
  • XXXX.TXT
gdzie %System% to:
  • C:\WINDOWS\SYSTEM (w Windows 95/98/ME)
  • C:\WINDOWS\SYSTEM32 (w Windows XP)
  • C:\WINNT\SYSTEM32 (w Windows NT/2000)

antywirusy.pl polecają:

  1. TREND PC-cillin Internet Security 11
  2. McAfee VirusScan Home v7.0 - wersja polska
  3. NOD32 dla stacji roboczych DOS, Win9x/ME/NT/2K/XP