Fałszywa szczepionka

Symantec ostrzegł internautów przed nowym koniem trojańskim, który rozsyłany jest za pośrednictwem poczty elektronicznej jako uaktualnienie do programu Norton Antivirus. W32.IRCBot.B umożliwia nieautoryzowanemu użytkownikowi uzyskanie dostępu do systemu.

Trojan zwykle pojawia się w komputerze w postaci załącznika do e-maila wysłanego z adresu 'updates@symantec.com'. Wiadomość taka zatytułowana jest Last Update, zaś jej treść zawiera informację o nowym wirusie (W32.Webb.F@mm) oraz polecenie skorzystania z załączonego do e-maila uaktualnienia (plik o nazwie nav32.zip). Przedstawiciele Symanteca ostrzegają, że wiadomość jest fałszywa - firma nigdy nie rozsyła uaktualnień do swoich produktów za pośrednictwem poczty elektronicznej.

Po uruchomieniu załącznika W32.IRCBot.B kopiuje się na dysk - utworzony w folderze System (lub System 32) plik będzie nosił nazwę RPCX1sQ3.exe. Trojan dodaje również do Rejestru wpis, dzięki któremu plik ten będzie uruchamiany przy każdym starcie system Windows.

Później W32.IRCBot.B usiłuje nawiązać kontakt ze swoim autorem - kontaktuje się z nim za pośrednictwem predefiniowanego kanału IRC. Trojan pozwala nieautoryzowanemu użytkownikowi na uzyskanie dostępu do zainfekowanego komputera - umożliwia m.in. modyfikowanie dowolnych plików, wyłączanie dowolnych aplikacji lub przeprowadzanie ataku DoS na wybrane serwery.

Aby usunąć W32.IRCBot.B, należy sprawdzić system przy pomocy programu antywirusowego i skasować wszystkie wykryte przez aplikacje kopie trojana.


Zobacz również