Nowe zagrożenie z P2P
- Daniel Cieślak,
- 17.09.2004, godz. 09:38
Symantec ostrzega przed nowym, uciążliwym robakiem, rozprzestrzeniającym się za pośrednictwem sieci P2P. Mexer.E może poważnie utrudniać pracę na zainfekowanej maszynie.
Robak ukrywa się w sieciach P2P w plikach, który nazwa skonstruowana jest według następującego wzoru: 'XXXX + 'Keygen.exe', 'Serial.exe', 'NoCD.exe' lub 'Crack.exe' (gdzie 'XXXX' to nazwa popularnego programu lub gry). Plik taki może więc nazywać się np.:
- Norton AntiVirus 2004 Pro Activation Key & Serial.exe
- Microsoft Windows XP Professional no cd.exe
- Adobe Photoshop CS and ImageReady CS 8.0 crack.exe
- Zone Alarm 5.0 pro keygen.exe
Należy w tym miejscu zastrzec, że liczba nazw wykorzystywanych przez robaka jest znacznie dłuższa - jest na niej ponad 100 pozycji.
Po pobraniu i uruchomieniu z sieci P2P takiego pliku uaktywnia się Mexer.E - robak kopiuje się na dysk (tworzy w katalogu System kilkadziesiąt swoich kopii) i dodaje do Rejestru wpis, dzięki któremu jeden z nowych plików będzie uruchamiany przy każdym starcie systemu Windows. Mexer.E kopiuje się również do folderów udostępnionych w sieciach peer-to-peer.
Po zainfekowaniu komputera Mexer.E wysyła na znalezione na dysku adresy e-mail wiadomości z załączonymi przypadkowymi plikami. Wiadomości takie opatrzone są jednym z poniższym tytułów:
- EBAY Information
- VISA Information
- Provider Information
- Your Crack
- Internet Information.
Procedura rozsyłania e-maili jest wielokrotnie powtarzana, dlatego robak może poważnie utrudnić pracę na zainfekowanym komputerze (szczególnie, jeśli będzie to niezbyt wydajna maszyna) - tym bardziej, że robak wykorzystuje do tego własny, niedoskonały 'silnik' SMTP.
Ostatni etap działania "insekta" to wyświetlenie komunikatu " Fight against MICROSOFT and make a virus!"
Aby usunąć Mexer.E z zainfekowanego komputera, należy uaktualnić program antywirusowy, przeprowadzić kompleksowe skanowanie systemu i skasować wszystkie wykryte przez aplikacje kopie robaka.