Robal z KaZaA

W Sieci pojawiła się nowa mutacja robaka W32.Kwobot.Worm - oznaczona literą E. "Insekt" potrafi rozprzestrzeniać się w sieciach wymiany plików P2P, może też posłużyć do zdalnego przejęcia kontroli nad zainfekowanych komputerem.

Po uruchomieniu pliku zawierającego W32.Kwobot.Worm robak kopiuje się na twardy dysk - swoją kopię (plik o nazwie Dllmem32.exe) zapisuje w folderze System lub System32 (w zależności od systemu operacyjnego). "Insekt" dodaje również do Rejestru wpis, dzięki któremu plik ten będzie uruchamiany przy każdym starcie systemu Windows. Na tym etapie W32.Kwobot.Worm kopiuje się również do folderu udostępnionego użytkownikom programów KaZaA oraz iMesh.

Później robak zaczyna co 30 sekund sprawdzać, czy dostępne jest jakieś połączenie z Internetem. Jeśli je znajdzie, połączy się z predefiniowanym serwerem IRC i zacznie oczekiwać na komendy od hakera. "Napastnik" może za jego pośrednictwem m.in. dowolnie modyfikować pliki, wykradać informacje o komputerze oraz przeprowadzić atak DoS (denial of service).

Aby usunąć W32.Kwobot.Worm, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego i przeprowadzić kompleksowe skanowanie systemu. Jeśli aplikacja wykryje kopie robaka, należy je skasować.


Zobacz również