Pleh - robak pocztowy nadpisujący pliki

Pleh jest destrukcyjnym robakiem internetowym napisanym w języku Visual Basic Script.

Poza standardową funkcją tej grupy mikrobów, czyli rozsyłaniem się za pomocą poczty elektronicznej, zawiera również procedury destrukcyjne, polegające na nadpisywaniu plików z określonymi rozszerzeniami.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

<b>Temat:</b> I hate you

<b>Treść:</b> i think that you must see this file ,i insist.

<b>Nazwa załącznika:</b>help.vbs

<b>Wielkość załącznika:</b> 3499 bajtów

Po uruchomieniu przez użytkownika pliku załącznika robak rozpoczyna swoją działalność. Najpierw tworzy własne kopie w plikach c:\windows\system\kernal.vbs i c:\windows\help.vbs.

Zobacz również:

  • SonicWall wzywa do likwidowania trzech groźnych podatności “zero-day”

Następnie robak wyszukuje na dyskach lokalnych oraz na zamapowanych dyskach sieciowych wszystkie pliki z rozszerzeniami: vbs, vbe, mp3, pwd, exe, mp2, doc, avi, mpeg, htm aby zamienić ich zawartość na własny kod, przekształcając je we własne kopie.

Kolejnym etapem działania Pleha jest masowe rozsyłanie własnych kopii w postaci załączników do listów elektronicznych rozsyłanych do wszystkich adresatów znajdujących się w książce adresowej systemu Windows, przy użyciu programu Microsoft Outlook.

Po wykonaniu procedur rozpowszechniania się rozpoczynają się procedury destrukcyjne. Na początek robak kasuje plik logos.sys, a następnie dodaje w pliku autoexec.bat linie powodujące sformatowanie dysku c: przy następnym uruchomieniu systemu Windows:

@cls

@Please wait it can take only few minuts

@format C:

Ostatecznie dodaje wpisy uruchamiające go automatycznie przy każdym starcie systemu Windows zarówno w pliku win.ini, jak i Rejestrze.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200