Robak "antySymantecowy"
- Daniel Cieślak,
- 27.07.2003, godz. 08:06
Firma Symantec ostrzegła użytkowników jej programów przed nowym, niebezpiecznym robakiem pocztowym, który kasuje pliki niezbędne do poprawnego działania tych aplikacji. W32.Babybear@mm rozprzestrzenia się w postaci załącznika do wiadomości, zatytułowanej "Please Confirm" lub "File You Requested".
Po uruchomieniu takiego pliku, robak zaczyna tworzyć na dysku swoje kopie - będzie to kilkadziesiąt plików o różnych nazwach, zapisanych w różnych folderach (np. C:\Attachment.exe, C:\jNotepad.exe, C:\My Shared Folder\Avril vs. Madonna Video.e, C:\My Shared Folder\Windows Xp Home Edition SP1 Serial.exe czy C:\Windows\Defrag.exe). Nazwy tych plików mogą niekiedy odpowiadać nazwom plików systemowych - w takim przypadku robak skasuje oryginalny plik i zastąpi go swoją kopią.
W32.Babybear@mm stworzy również na dysku C 200 pustych folderów o przypadkowych nazwach, po czym rozpocznie kasowanie plików z rozszerzeniami: .dat, .inf, .dll, .sys, .exp, .cat, .txt oraz .vxd, zlokalizowanych w folderach:
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\Common Files\Symantec Shared\Livereg
C:\Program Files\Common Files\Symantec Shared\Scriptblocking
C:\Program Files\Common Files\Symantec Shared\Virusdefs
C:\Program Files\Common Files\Symantec Shared\Virusdefs\20020227.005
C:\Program Files\Common Files\Symantec Shared\Virusdefs\20030618.006
Spowoduje to, że większość standardowo zainstalowanych produktów firmy Symantec przestanie prawidłowo działać.
Zobacz również:
Aby usunąć W32.Babybear@mm, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego i przeprowadzić kompleksowe skanowanie systemu. Jeśli aplikacja wykryje kopie robaka, należy je skasować. Niezbędne może się również okazać ponowne zainstalowanie programów firmy Symantec.