Destrukcyjny robak-poliglota

W Sieci pojawił się nowy, wyjątkowo aktywny robak pocztowy - Erkez.B (znany również jako Zafi.B). "Insekt" rozprzestrzenia się w załączniku do e-maila, rozsyłanego w kilku wersjach językowych (w tym również w jęz. polskim), zaś po zainfekowaniu komputera nadpisuje pliki z rozszerzeniami .exe, co może doprowadzić do uszkodzenia niektórych aplikacji lub nawet systemu operacyjnego. Na atak Erkez.B podatne są wszystkie systemy z rodziny Windows.

Erkez.B rozprzestrzenia się w postaci załącznika do e-maila o jednym z poniższych tytułów: Ingyen SMS!, Importante!, oKatya, E-Kort!, Ecard!, E-vykort!, E-Postkort!, E-postikorti!, Atviruka!, E-Kartki! (w tym przypadku treść e-maila stanowić będą słowa: W Dniu imienin... ), Cartoe Virtuais!, Flashcard fuer Dich!, Er staat een eCard, Elektronicka pohlednice!, E-carte!, Ti e stata inviata una Cartolina Virtuale!, You`ve got 1 VoiceMessage!, Tessek mosolyogni!!!, Soxor Csok!, Don`t worry, be happy! oraz Check this out kid!!!. Plik załączony do takiego e-maila może mieć różne nazwy, z reguły jednak będzie on miał rozszerzenie .exe, .com lub .pif (możliwe jest także podwójne rozszerzenie - np. nazwa_pliku.jpg.pif).

Polski trop

Po zainfekowaniu komputera, robak zaczyna wysyłać swoje kopie pod znalezione na dysku adresy e-mail - robak sprawdza, w jakiej domenie zarejestrowany jest adres i dostosowuje do tego wersję językową e-maila (na adres zakończony sufiksem .pl zostanie wysłany e-mail po polsku, na adres z końcówką .de - po niemiecku itd).

.exe na celowniku

Później Erkez.B wyszukuje pliki z rozszerzeniem .exe i usiłuje zastąpić je swoją kopią. Robak szuka przede wszystkim plików przynależnych do programów antywirusowych, jednak może się zdarzyć, że "podmieni" również pliki innych programów lub systemu operacyjnego. Nadpisanie pliku .exe może uniemożliwić uruchomienie niektórych programów, a w skrajnej sytuacji - nawet systemu operacyjnego. Erkez.B kopiuje się także do folderów (zawierających w nazwie fraze "share" lub "upload") udostępnionych użytkownikom programów P2P - zapisuje się w nich jako winamp 7.0 full_install.exe oraz Total Commander 7.0 full_install.exe.

Robak usiłuje również przeprowadzić atak DoS na strony www.parlament.hu, www.virusbuster.hu, www.virushirado.hu oraz www.2f.hu. Co więcej, uniemożliwia on użytkownikowi uruchomienie aplikacji, których nazwy zawierać będą frazy regedit, msconfig lub task - to z kolei może poważnie utrudnić usunięcie robaka z systemu.

W Polsce na razie spokojnie

Jak powiedział nam Kamil Konieczny z firmy MKS, Ekrez.B/Zafi.B nie jest na razie zbyt aktywny w Polsce - do MKS zainfekowane przesyłki docierają sporadycznie.

Najprostszym sposobem usunięcia z systemu robaka jest skorzystanie z narzędzi do usuwania Erkez.B, udostępnionych przez producentów oprogramowania antywirusowego. Poniżej prezentujemy adresy, pod którymi można znaleźć owe narzędzia oraz szczegółowe instrukcje obsługi:

Symantec

W32.Erkez.B@mm Removal Tool: http://securityresponse.symantec.com/avcenter/venc/data/w32.erkez.b@mm.removal.tool.html

F-Secure:

Narzędzie do usuwania Zafi.B:

ftp://ftp.f-secure.com/anti-virus/tools/f-zafi.exe

Instrukcja:

ftp://ftp.f-secure.com/anti-virus/tools/f-zafi.txt


Zobacz również