Szpieg w "pececie"

Cały czas niezwykle aktywny jest robak internetowy Mydoom, nie oznacza to jednak, że w Internecie nie pojawiają się nowe, groźne "insekty". Symantec poinformował właśnie o wykryciu wykradającego informacje robaka W32.HLLW.Anig - jest on na tyle groźny, że firma od razu udostępniła narzędzie do usuwania go z systemu.

Po zainfekowaniu komputera, robak kopiuje na dysk trzy pliki (umieszcza je w katalogu System): NTOSA32.exe, NTGINA.dll (jest to moduł odpowiedzialny za przechwytywanie wszystkich danych wprowadzanych za pomocą klawiatury) oraz NTKBH32.dll (w tym pliku zapisywane są "wykradane" informacje"). W32.HLLW.Anig modyfikuje również Rejestr - tak, by robak uruchamiany był przy każdym starcie systemu Windows.

"Insekt" usiłuje także rozprzestrzeniać się w sieci lokalnej - wyszukuje udostępnione w niej foldery i próbuje uzyskać dostęp do nich, wykorzystując standardowe hasła. Ostatnim etapem jego działania jest otwarcie portu TCP 5190 i oczekiwanie na polecenia swojego autora (dzięki robakowi, może on uzyskać nieautoryzowany dostęp do komputera).

Aby usunąć robaka, należy sprawdzić system przy pomocy uaktualnionego programu antywirusowego - jeśli aplikacja wykryje kopie W32.HLLW.Anig, należy je skasować. Alternatywnym sposobem jest skorzystanie z udostępnionego już przez Symanteca narzędzia do usuwania robaka. Można je znaleźć tutaj: http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.anig.removal.tool.html


Zobacz również