Włoski robak

Symantec poinformował o wykryciu kolejnego robaka internetowego, masowo rozsyłającego się za pośrednictwem poczty elektronicznej. Wysyłając swoje kopie i wyświetlając przeróżne komunikaty W32.Atram@mm może poważnie utrudnić pracę na zainfekowanej maszynie.

Symantec poinformował o wykryciu kolejnego robaka internetowego, masowo rozsyłającego się za pośrednictwem poczty elektronicznej. W32.Atram@mm nie potrafi kasować plików – jednak masowo wysyłając swoje kopie i wyświetlając przeróżne komunikaty może poważnie utrudnić pracę na zainfekowanej maszynie.

Robak zwykle pojawia się w komputerze w postaci załącznika do e-maila o następujących parametrach:

Tytuł: Divertimento assicurato.. (występują również dwie inne wersje: Leggete urgentemente questa e-mail!! (se avete tempo da perdere) oraz Storielle..)

Załącznik: porkis.exe, pippo.exe lub bar.exe

Po uruchomieniu załącznika robak utworzy na dysku swoją kopię – C:\WINDOWS\dllmgr.exe oraz zmodyfikuje Rejestr tak, by plik ten był uruchamiany przy każdym starcie systemu Windows. (do klucza:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

doda wartość

"Dll Manager" = "c:\windows\dllmgr.exe"

Następnie rozpocznie wyświetlanie komunikatów (w j. włoskim). Każde okno dialogowe zawierające komunikat trzeba oddzielnie zamykać, tak więc ten etap działania robaka znacznie utrudnia pracę na zainfekowanym komputerze. Następnie W32.Atram@mm przeszukuje twardy dysk w poszukiwaniu adresów e-mail i zaczyna wysyłać swoje kopie.

Aby usunąć wirusa, należy sprawdzić system przy pomocy programu antywirusowego i usunąć wszystkie kopie W32.Atram@mm. Konieczne jest również przywrócenie pierwotnego stanu Rejestru.


Zobacz również