Robak z P2P

Symantec poinformował o wykryciu nowego, uciążliwego robaka, rozprzestrzeniającego się za pośrednictwem programów KaZaA oraz WinMX. Po zainfekowaniu komputera, W32.HLLW.Winur próbuje wykorzystać maszynę do przeprowadzania ataków DDoS (Distributed Denial of Service).

Robak aktywuje się po uruchomieniu jego kopii (można je znaleźć w sieciach P2P - robak ukrywa się pod różnymi, atrakcyjnymi dla internautów nazwami). W32.HLLW.Winur kopiuje się następnie na dysk C (jako klez_removal.exe) oraz na dyskietkę - robak zapisuje się tu jako plik o nazwie "Important - read this.doc .exe" (pomiędzy rozszerzeniami znajdują się 62 spacje - użytkownikowi wydaje się więc, że rozszerzenie tego pliku to .doc).

Później W32.HLLW.Winur tworzy ukryty folder C:\Winrun, do którego kopiuje się pod kilkudziesięcioma różnymi nazwami - m.in. Adobe Photoshop cracker.exe, Age of Empire crack.exe, All Microsoft games cracker.exe, Bugbear remover.exe, Dvd ripper.exe, EA games Keygen.exe, Lord of the rings VCD.exe czy Windows XP license cracker.exe. Folder ten udostępniany jest innym użytkownikom programów KaZaA oraz WinMX.

Ostatnim etapem działania insekta jest próba przeprowadzenia ataku DDoS na zdefiniowane wcześniej przez autora robaka witryny internetowe.

Aby usunąć W32.HLLW.Winur, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego i przeprowadzić kompleksowe skanowanie systemu. Jeśli aplikacja wykryje kopie "insekta", należy je skasować.


Zobacz również