Groźny robak z P2P

Symantec ostrzegł internautów przed nowym, wyjątkowo uciążliwym robakiem, rozprzestrzeniającym się za pośrednictwem sieci P2P. W32.HLLW.Bodiru tworzy na dysku zainfekowanego komputera kilkaset swoich kopii, wyłącza oprogramowanie zabezpieczające, może też przeprowadzać ataki Dos i uszkodzić niezbędne do prawidłowej pracy systemu pliki.

Po uruchomieniu pliku zawierającego W32.HLLW.Bodiru, robak zaczyna tworzyć na dysku swoje kopie - będą to m.in. pliki Home Work.doc.pif, Norton Anitivirus 2004.exe, Windows Tools.exe, W32.rudeboi.exe, Live update.pif, Windows Update.exe oraz Help.exe (plików takich robak może utworzyć w różnych folderach nawet kilkaset).

Kolejnym etapem działania W32.HLLW.Bodiru jest próba dołączenia swojego kodu do wybranych plików z rozszerzeniami .exe - wśród nich znajdą się:

C:\Program Files\Winzip\WINZIP32.exe

C:\Program Files\Norton AntiVirus\Navw32.exe

C:\Program Files\MSN Messenger\Msnmsgr.exe

C:\Windows\Wscript.exe

C:\Windows\Rundll.exe

C:\Windows\Rundll32.exe

C:\Winnt\Regedit.exe

C:\Windows\System\Underwater.scr

C:\Windows\Regedit.exe

C:\Winnt\Regedit.exe

C:\Winnt\System32/Regedit.exe

W wielu przypadkach próba dołączenia kodu może zakończyć się niepowodzeniem - w takiej sytuacji robak uszkodzi plik źródłowy.

Ostatnie etapy działania robaka to przeprowadzenie ataku DoS (denial of service) na dwa predefiniowane hosty (symantec.com i mess.be) oraz próba wyłączenia zainstalowanego na zainfekowanym komputerze oprogramowania zabezpieczającego (programów antywirusowych i firewalli).

Aby usunąć robaka, należy sprawdzić system przy pomocy uaktualnionego programu antywirusowego i skasować wszystkie wykryte przez aplikacje kopie W32.HLLW.Bodiru.


Zobacz również