Robak antypiracki

Symantec opublikował ostrzeżenie przed nowym robakiem, rozprzestrzeniającym się za pośrednictwem sieci P2P, poczty elektronicznej, w dokumentach programów Microsoft Word i Excel oraz w sieci lokalnej. Po zainfekowaniu komputera, W32.HLLW.Tang@mm kasuje pliki pobrane przez użytkownika z sieci P2P.

Robak może pojawić się w komputerze na kilka sposobów – może podszywać się pod różne pliki, dostępne w sieci P2P, automatycznie skopiować się z innego komputera znajdującego się w tej samej sieci lokalnej (pod nazwą License.exe), może ten być załączony do wiadomości e-mail lub ukryty w dokumencie Word lub Excel.

Jeśli W32.HLLW.Tang@mm pojawi się w postaci załącznika do e-maila, to wiadomość taka opatrzona będzie jednym z poniższych tytułów: Important Notice (załącznik: EmailFix.exe), Hello readers (załącznik: Mp3Connect.exe), A ScreenSaver (załącznik: Hilarious.scr), Email spoofer (nazwy załącznika mogą być różne), Password Cracker (załącznik: PswdCrack.exe) lub Hotmail passwords (nazwa załącznika to EmailHacker.exe).

Po uruchomieniu takiego pliku robak zacznie tworzyć swoje kopie w katalogu Windows (lub Winnt – w zależności od systemu operacyjnego). Będą to m.in. pliki: License.exe, EmailFix.exe, EmailGen.exe, EmailHacker.exe, Hilarious.scr, Keymapp32.exe, Mp3Connect.exe, Msdnssrv.exe, Wnetcon32.exe czy Re-inst32.scr.

Następnie W32.HLLW.Tang@mm wyszukuje katalogi, w których przechowywane są pliki pobierane z sieci peer-to-peer za pomocą programów LimeWire, Gnucleus, Shareaza, KaZaA, BearShare, eDonkey2000, Morpheus oraz Grokster. Później robak usunie z nich pliki z rozszerzeniami .scr, .pif, .mp3, .mp2, .gif, .bmp, .dib, .png, .jpg, .jpeg, .jpe, .tif, .tiff, .mpg, .mpeg, .mpe, .avi, .mov, .m3u, .b4s, .tmp, .txt., .lnk, .bat, .mdb, .ppt, oraz .pps. Na ich miejsce umieści swoje kopie - z zachowaniem oryginalnej nazwy i rozszerzeniem .exe). Na tym etapie robak infekuje również pliki programów Word i Excel.

Ostatnim etapem działania robaka jest wysyłanie swoich kopii do wszystkich adresatów znalezionych w książce adresowej programu Outlook oraz Outlook Express.

Aby usunąć W32.HLLW.Tang@mm, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego i przeprowadzić kompleksowe skanowanie systemu. Jeśli aplikacja wykryje kopie robaka, należy je usunąć (zarażone przez "insekta" dokumenty można spróbować "wyleczyć").


Zobacz również