Darling - robak usuwający pliki

Darling jest następnym członkiem coraz liczniejszej rodziny robaków internetowych z rodziny VBS.

Podobnie jak niesławny LoveLetter usuwa on pliki o określonych rozszerzeniach w ich miejsce umieszczając własne kopie.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

<b>Temat:</b> <i>Only for you</i>

<b>Treść:</b> <i>I found for you very important document dont show anyone, Darling</i>

<b>Załącznik:</b> <i>User32.dll.vbs</i>

Po uruchomieniu załącznika robak umieszcza swój kod w katalogu systemowym Windows (domyślnie c:\windows\system) pod nazwą user32.dll.vbs i wpisuje wywołanie tego pliku w kluczu:

<b>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run</b>

Oprócz tego robak przeszukuje wszystkie dostępne dyski w systemie w poszukiwaniu plików o rozszerzeniach jpg, jpeg, gif, doc, mpg i mp3, a po znalezieniu każdy taki plik zamazuje swoją zawartością, przez co pliki te są po prostu tracone. Przy okazji zmieniana jest nazwa tych plików przez dopisanie rozszerzenia vbs (przykładowo jeśli plik miał pierwotnie nazwę plik.gif, to po zniszczeniu go przez robaka nazwa ta będzie brzmiała plik.gif.vbs).

Zobacz również:

  • Google zmienia algorytmy - więcej reklam w Gmailu

Leczenie robaka polega na skasowaniu wszystkich plików z tak zmienionymi nazwami (są to tylko kopie robaka), oraz usunięciu z katalogu systemowego Windows (domyślnie c:\windows\system) pliku user32.dll.vbs oraz skasowaniu wpisu User32 z rejestrów systemowych z klucza:

<b>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run</b>

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200