Robak zamiast programu

W32.HLLW.Redist@mm to nowy, masowo rozprzestrzeniający się robak pocztowy. Po zainfekowaniu komputera, usiłuje on dystrybuować się za pośrednictwem sieci P2P oraz programu Outlook, a także wykradać dane z zarażonej maszyny.

Robak zwykle pojawia się w komputerze w postaci załącznika do e-maila o jednym z poniższych tytułów: Modem booster (załącznik : ModemBooster.exe), Better than WinZip? (załącznik: FileCompress.exe), Warp ScreenSaver (załącznik: WarpScreen.scr), Program (załacznik: Winprg32.pif lub Msprg32.pif) oraz Fire ScreenSaver (załącznik: FireScreen.scr). Po jego uruchomieniu W32.HLLW.Redist@mm kopiuje się do folderu Windows lub Winnt (w zależności od systemu operacyjnego) - zapisuje się tam jako FireScreen.scr lub Msctrl32.scr. Robak doda również do Rejestru wpis, dzięki któremu plik ten będzie uruchamiany przy każdym starcie systemu Windows.

Kolejnym etapem działania robaka jest wyłączenie zainstalowanego na zainfekowanym komputerze oprogramowania antywirusowego oraz rozsyłanie swoich kopii do wszystkich adresatów znalezionych w książce adresowej systemu Windows. "Insekt" usiłuje również rozprzestrzeniać się za pośrednictwem programu KaZaA - kopiuje się on do folderu udostępnionego jego użytkownikom. Robak gromadzi również informacje o użytkowniku komputera (np. jego login i hasła dostępu) i wysyła je na adres msctrl32@hotmail.com.

Aby go usunąć, należy uaktualnić program antywirusowy i przeprowadzić kompleksowe skanowanie systemu - jeśli aplikacja wykryje kopie W32.HLLW.Redist@mm, należy je skasować.


Zobacz również