"Zipowy" robak

Symantec ostrzegł internautów przed nową mutacją groźnego robaka pocztowego Worm.ExploreZip. "Insekt" rozsyła się przy pomocy programów Outlook i Outlook Express. Po uaktywnieniu się "zeruje" pliki o określonych rozszerzeniach.

W32.ExploreZip.L.Worm jest stosunkowo trudny do wykrycia, ponieważ może pojawić się w komputerze w postaci pliku załączonego do e-maila, będącego odpowiedzią na wysłaną wcześniej przez nas wiadomość. Nazwa załącznika jest jednak stała - Zipped_files.exe.

Po uruchomieniu pliku robak kopiuje się do katalogu, w którym zainstalowany jest system Windows i modyfikuje plik Win.ini tak, by plik ów był uruchamiany przy każdym starcie systemu Windows.

W32.ExploreZip.L.Worm przeszukuje również udostępnione zasoby sieciowe - jeśli znajdzie w sieci lokalnej udostępniony folder Windows lub Winnt, skopiuje się do niego.

Następnym etapem działania "insekta" jest rozsyłanie swoich kopii za pośrednictwem programów Outlook oraz Outlook Express - W32.ExploreZip.L.Worm automatycznie wyśle odpowiedzi na wszystkie otrzymane, lecz nie przeczytane wiadomości. Oczywiście, dołączy do nich swoją kopię.

Później robak sprawdzi wszystkie dostępne dyski (od C do Z) w poszukiwaniu plików z rozszerzeniami: .h, .c, .cpp, .asm, .doc, .xls oraz .ppt. Później zmieni ich nazwy i skasuje całą zawartość plików - tak, by rozmiar każdego z nich wynosił 0 bajtów.

Aby usunąć W32.ExploreZip.L.Wormm, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego i przeprowadzić kompleksowe skanowanie systemu. Jeśli aplikacja wykryje kopie robaka, należy je skasować.


Zobacz również