Powrót robaka

Symantec ostrzega internautów przed nową mutacją niebezpiecznego robaka Kwobot, oznaczoną literą Y. "Insekt" rozprzestrzenia się za pośrednictwem sieci P2P - po zainfekowaniu komputera umożliwia nieautoryzowanym użytkownikom uzyskanie dostępu do systemu.

Po uruchomieniu pliku zawierającego Kwobot.Y, zapisuje się on w folderze System (lub System32, w zależności od systemu operacyjnego) pod nazwą Explorer32.exe. Dodatkowe kopie robak tworzy również w folderze My Shared folder - będzie to nawet kilkaset plików o różnych nazwach.

Kolejnym etapem działania robaka jest wprowadzenie zmian do Rejestru - Kwobot.Y dodaje tam wpis, dzieki któremu plik Explorer32.exe będzie uruchamiany przy każdym starcie systemu Windows. Później "insekt" łączy się z predefiniowanym kanałem IRC (wykorzystuje do tego własnego klienta IRC) i oczekuje na polecenia od swojego autora.

Kwobot.Y umożliwia nieautoryzowanemu użytkownikowi dowolne modyfikowanie (przeglądanie, kopiowanie, kasowanie) plików zgromadzonych na dysku zarażonego komputera, wykradanie informacji o systemie, a także wykorzystanie komputera do przeprowadzenia ataku DoS (Denial of Service).

Aby usunąć robaka, należy uaktualnić program antywirusowy i przeprowadzić kompleksowe skanowanie systemu. Jeśli aplikacja wykryje kopie Kwobot.Y, należy je skasować.


Zobacz również