Kipis.L - robak z trojanem

Symantec opublikował ostrzeżenie przed nowym robakiem pocztowym, który do infekowania komputerów wykorzystuje znany od kilkunastu miesięcy błąd w zabezpieczeniach systemu Windows. Kipis.L umożliwia nieautoryzowanym użytkownikom uzyskanie pełnego dostępu do zarażonego komputera.

Tytuły wiadomości e-mail rozsyłanych przez Kipis.L:

- Thanks ;)

- Thank you!!!

- Cool! :)

- Cool flash porno! :)

- Mail Delivery Failed

- private document

- key

- important

- info

- Information

Robak zwykle 'zaszyty' jest w pliku HTML, będącym treścią wiadomości e-mail - dzięki błędowi w zabezpieczeniach Windows Kipis.L może zainstalować się w systemie bez żadnego działania ze strony użytkownika - wystarczy, że ten wyświetli treść wiadomości e-mail. Wspomniany powyżej błąd został omówiony w biuletynie MS04-011 i już w kwietniu ubiegłego roku udostępniono usuwające je uaktualnienie (pisaliśmy o tym w tekście "Microsoft łata... 20 dziur"). Patcha można znaleźć tutaj.

Po uaktywnieniu, robak kopiuje się na dysk i modyfikuje plik system.ini - dzięki czemu jego kopia będzie uruchamiana przy każdym starcie systemu Windows. Następnie Kipis.L instaluje konia trojańskiego, za pośrednictwem którego nieautoryzowany użytkownik może uzyskać pełen dostęp do systemu (poprzez port 5311).

Ostatnim etapem działania 'szkodnika' jest przeszukanie dysku w poszukiwaniu adresów e-mail i wysłanie swoich kopii na wszystkie znalezione adresy.

Aby usunąć robaka z systemu, należy uaktualnić program antywirusowy i przeprowadzić skanowanie. Jeśli aplikacja wykryje kopie Kipis.L, należy je skasować.


Zobacz również