Robak "antySymantecowy"

Firma Symantec ostrzegła użytkowników jej programów przed nowym, niebezpiecznym robakiem pocztowym, który kasuje pliki niezbędne do poprawnego działania tych aplikacji. W32.Babybear@mm rozprzestrzenia się w postaci załącznika do wiadomości, zatytułowanej "Please Confirm" lub "File You Requested".

Po uruchomieniu takiego pliku, robak zaczyna tworzyć na dysku swoje kopie - będzie to kilkadziesiąt plików o różnych nazwach, zapisanych w różnych folderach (np. C:\Attachment.exe, C:\jNotepad.exe, C:\My Shared Folder\Avril vs. Madonna Video.e, C:\My Shared Folder\Windows Xp Home Edition SP1 Serial.exe czy C:\Windows\Defrag.exe). Nazwy tych plików mogą niekiedy odpowiadać nazwom plików systemowych - w takim przypadku robak skasuje oryginalny plik i zastąpi go swoją kopią.

W32.Babybear@mm stworzy również na dysku C 200 pustych folderów o przypadkowych nazwach, po czym rozpocznie kasowanie plików z rozszerzeniami: .dat, .inf, .dll, .sys, .exp, .cat, .txt oraz .vxd, zlokalizowanych w folderach:

C:\Program Files\Common Files\Symantec Shared

C:\Program Files\Common Files\Symantec Shared\Livereg

C:\Program Files\Common Files\Symantec Shared\Scriptblocking

C:\Program Files\Common Files\Symantec Shared\Virusdefs

C:\Program Files\Common Files\Symantec Shared\Virusdefs\20020227.005

C:\Program Files\Common Files\Symantec Shared\Virusdefs\20030618.006

Spowoduje to, że większość standardowo zainstalowanych produktów firmy Symantec przestanie prawidłowo działać.

Aby usunąć W32.Babybear@mm, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego i przeprowadzić kompleksowe skanowanie systemu. Jeśli aplikacja wykryje kopie robaka, należy je skasować. Niezbędne może się również okazać ponowne zainstalowanie programów firmy Symantec.


Zobacz również