Gaggle.E - nowa wersja groźnego robaka

Symantec poinformował o wykryciu nowej wersji uciążliwego robaka pocztowego Gaggle - tym razem jest ona oznaczona literą E. Gaggle.E rozprzestrzenia się za pośrednictwem poczty elektronicznej i sieci P2P, próbuje też kopiować się na dyski losowo wybranych komputerów, wykorzystując standardowe hasła administratora.

Robak atakuje koputery pracujące pod kontrolą systemu Windows. Aktywność Gaggle.E nie ogranicza się jedynie dystrybuowania się - robak może także infekować pliki, kasować je, a w określone dni miesiąca wyświetla komunikaty w języku hiszpańskim i automatycznie uruchamia przeglądarkę internetową.

"Insekt" zwykle pojawia się w komputerze w postaci załącznika do wiadomości e-mail (jej tytuł i treść mogą być różne, ale nazwa załącznika jest stała - filezip.zip) lub pliku pobranego z sieci P2P (Gaggle.E zwykle podszywa się pod popularne oprogramowanie lub pornograficzny klip wideo). Po uruchomieniu takiego pliku robak kopiuje się na twardy dysk i zaczyna wysyłać swoje kopie na wszystkie znalezione na dysku adresy e-mail. Później zacznie zastępować swoimi kopiami pliki o rozszerzeniach .vbs, .vbe, .js, .jse, .hta, .htm, .html, .php, .shtm, .shtml, .phtm, .phtml, .mht, .mhtml, .plg oraz .htx). Gaggle.E umieści równiez kilkadziesiąt swoich kopii o rożnych nazwach w folderach udostępnionych użytkownikom sieci P2P.

Każdego 11 i 26 dnia miesiąca robak wyświetla komunikat po hiszpańsku, zaś 29 dnia miesiąca otwiera w przeglądarce internetowej stronę www.arvil-lavigne.com. Ostatnim etapem działania Gaggle.E będzie losowe generowanie adresów IP i wysyłanie na nie swoich kopii - robak będzie próbował uzyskać dostęp do zdalnych maszyn, wykorzystując standardowe hasła użytkowników.

Aby usunąć "insekta" z systemu, należy sprawdzić system przy pomocy uaktualnionego programu antywirusowego i skasować wszystkie wykryte przez aplikację kopie Gaggle.E.


Zobacz również