"I LOVE YOU" - czyli znów robak
- Daniel Cieślak,
- 05.03.2005, godz. 08:18
W Sieci pojawił się nowy robak pocztowy, który, podobnie jak osławiony 'I love you' usiłuje zainteresować internautów tytułem e-maila, zawierającym miłosne wyznanie. Po zainfekowaniu komputera Assiral.B masowo wysyła z niego swoje kopie, pobiera niebezpiecznego konia trojańskiej, próbuje również wyłączać oprogramowanie zabezpieczające.
Robak zwykle pojawia się w komputerze w postaci załącznika do e-maila o jednym z poniższych tytułów:
- Re: Message
- Re: Letter
- Re: Information
- I LOVE YOU
- Re: Your Documents
- Re: Account Info
- Windows Update
- Re: My Letter
- Re: Docs
- Re: Your Email Info
Do wiadomości takiej załączony będzie plik z rozszerzeniem .exe (Letter, Information, LOVE_LETTER_FOR_YOU, Documents.exe, Attached_Message, Microsoft_Update, Private_Letter, Private_Document oraz Important_Message). Jego uruchomienie spowoduje uaktywnienie się robaka - Assiral.B skopiuje się na dysk (pod nazwą SP00Lsv32.pif, MSLARISSA.pif oraz CmdPrompt32.pif) i zmodyfikuje Rejestr tak, by jeden z tych plików był uruchamiany przy każdym starcie systemu Windows.
Następnie robak pobiera i instaluje konia trojańskiego Klassir, który umożliwia nieautoryzowanym użytkownikom uzyskanie dostępu do systemu. Później usiłuje skasować pliki .exe i .dll z folderów Windows, System oraz System 32. Kolejnym etapem jego działania jest wyłączenie niektórych aktywnych procesów (w tym m.in. oprogramowania zabezpieczającego), a także wysłanie swoich kopii na wszystkie, znalezione na dysku, adresy e-mail.
Aby usunąć Assiral.B, należy sprawdzić system przy pomocy uaktualnionego programu antywirusowego i skasować wszystkie wykryte przez aplikację kopie robaka.