Worm W32/Explorer
- Józef Muszyński,
- 15.04.2002, godz. 11:25
W32/Explorer jest nowym robakiem internetowym, napisanym w języku Borland Delphi, rozprzestrzeniającym się przez pocztę elektroniczną wewnątrz sieci lokalnych i za pośrednictwem Internetu.
W32/Explorer jest nowym robakiem internetowym, napisanym w języku Borland Delphi, rozprzestrzeniającym się przez pocztę elektroniczną wewnątrz sieci lokalnych i za pośrednictwem Internetu. Na zainfekowanym komputerze robak tworzy stronę www, dzięki czemu może przenosić się także przez Internet, jeśli tylko komputer jest widoczny w sieci www (jako serwer lub komputer z publicznym adresem IP).
Pocztą elektroniczną robak rozsyła się jako plik załącznika do wiadomości o temacie ".". Nazwa pliku to: psecure20x-cgi-install.version6.01.bin.hx.com.
Zobacz również:
Po otwarciu pliku robak, w celu zmylenia użytkownika, tworzy w katalogu, w którym zapisany jest załącznik, pusty plik o nazwie IPHIST.DAT. Jednocześnie zamienia program EXPLORER.EXE w katalogu Windows/System na własną kopię. Następnie odebrany plik załącznika jest kasowany, a robak zapisuje się w pamięci komputera.
W32/Explorer wykorzystuje także kanał IRC, rozsyłając do jego użytkowników informację: FREE PORN: http://free:[email protected]:8180 (w miejsce x.x.x.x podawany jest adres IP zarażonego komputera). Po otwarciu strony pojawia się następujący komunikat:
Browser Plugin Required:
You may need to restart your browser for changes to take effect
Security Certificate by Verisign 2002
MD5: 9DD756AC-80E057FC-E00703A2-F801F2E3
Click HERE and choose "Run" to install.
Jeśli użytkownik wybierze instalację, robak umieści swoją kopię na jego komputerze, modyfikując rejestr Windows w ten sposób, aby wirus był uruchamiany przy każdym starcie systemu.
Pod adresemhttp://service.pandasoftware.es/library/virusCard.jsp?Virus=W32/Explorer można znaleźć szczegółowy opis działania worma oraz sposób jego usunięcia.