Pleh - robak pocztowy nadpisujący pliki
- Krzysztof Arkuszewski,
- 09.04.2001
Pleh jest destrukcyjnym robakiem internetowym napisanym w języku Visual Basic Script.
Poza standardową funkcją tej grupy mikrobów, czyli rozsyłaniem się za pomocą poczty elektronicznej, zawiera również procedury destrukcyjne, polegające na nadpisywaniu plików z określonymi rozszerzeniami.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
<b>Temat:</b> I hate you
<b>Treść:</b> i think that you must see this file ,i insist.
<b>Nazwa załącznika:</b>help.vbs
<b>Wielkość załącznika:</b> 3499 bajtów
Po uruchomieniu przez użytkownika pliku załącznika robak rozpoczyna swoją działalność. Najpierw tworzy własne kopie w plikach c:\windows\system\kernal.vbs i c:\windows\help.vbs.
Zobacz również:
Następnie robak wyszukuje na dyskach lokalnych oraz na zamapowanych dyskach sieciowych wszystkie pliki z rozszerzeniami: vbs, vbe, mp3, pwd, exe, mp2, doc, avi, mpeg, htm aby zamienić ich zawartość na własny kod, przekształcając je we własne kopie.
Kolejnym etapem działania Pleha jest masowe rozsyłanie własnych kopii w postaci załączników do listów elektronicznych rozsyłanych do wszystkich adresatów znajdujących się w książce adresowej systemu Windows, przy użyciu programu Microsoft Outlook.
Po wykonaniu procedur rozpowszechniania się rozpoczynają się procedury destrukcyjne. Na początek robak kasuje plik logos.sys, a następnie dodaje w pliku autoexec.bat linie powodujące sformatowanie dysku c: przy następnym uruchomieniu systemu Windows:
@cls
@Please wait it can take only few minuts
@format C:
Ostatecznie dodaje wpisy uruchamiające go automatycznie przy każdym starcie systemu Windows zarówno w pliku win.ini, jak i Rejestrze.