Robak zamiast wiadomości

Eksperci z Symantec Security Response poinformowali o wykryciu nowego uciążliwego robaka. W32.Mixor.K@mm to typowy robak pocztowy, ukrywający się w e-mailu mającym jakoby zawierać ważne informacje z serwisu CNN.

"Szkodnik" zwykle pojawia się w komputerze w postaci załącznika do e-maila o jednym z poniższych tytułów: ATTN TO EVERYBODY!, READ AND RESEND ASAP!, Incredible news!, NEWS! lub ATTN URGENT NEWS!. Do wiadomości takiej załączony jest plik o nazwie CNN latest news.exe, CNN news reader.exe, WWW-CNN-COM.exe, cnn agent.exe, cnn.exe, news agent.exe lub webnews agent.exe.

Po uruchomieniu załącznika uaktywnia się W32.Mixor.K@mm - robak kopiuje się do folderu systemowego i dodaje do Rejestru wpis, dzięki któremu jego kopia będzie uruchamiana przy każdym starcie systemu Windows (na atak podatne są wszystkie systemy z rodziny Windows - od Win95 do WinXP włącznie). Kolejnym etapem jego działania jest próba wyłączenia wszystkich procesorów zawierających w nazwie określone frazy (m.in. mcafee, lockdown, firewall, avg, nod32 czy Nav) - "szkodnik" próbuje w ten sposób zneutralizować oprogramowanie zabezpieczające.

Ostatnim etapem jego działania jest wyszukanie na dysku adresów e-mail i rozpoczęcie masowego wysyłania na nie swoich kopii. Warto też zauważyć, że podczas instalowania się w systemie W32.Mixor.K@mm umieszcza na dysku komputera także kopię niebezpiecznego konia trojańskiego - Trojan.Galapoper.A.

Aby usunąć robaka, należy uaktualnić program antywirusowy, przeprowadzić kompleksowe skanowanie systemu i skasować wszystkie wykryte przez aplikację kopie W32.Mixor.K@mm.


Zobacz również