Worm W32/Explorer

W32/Explorer jest nowym robakiem internetowym, napisanym w języku Borland Delphi, rozprzestrzeniającym się przez pocztę elektroniczną wewnątrz sieci lokalnych i za pośrednictwem Internetu.

W32/Explorer jest nowym robakiem internetowym, napisanym w języku Borland Delphi, rozprzestrzeniającym się przez pocztę elektroniczną wewnątrz sieci lokalnych i za pośrednictwem Internetu. Na zainfekowanym komputerze robak tworzy stronę www, dzięki czemu może przenosić się także przez Internet, jeśli tylko komputer jest widoczny w sieci www (jako serwer lub komputer z publicznym adresem IP).

Pocztą elektroniczną robak rozsyła się jako plik załącznika do wiadomości o temacie ".". Nazwa pliku to: psecure20x-cgi-install.version6.01.bin.hx.com.

Zobacz również:

Po otwarciu pliku robak, w celu zmylenia użytkownika, tworzy w katalogu, w którym zapisany jest załącznik, pusty plik o nazwie IPHIST.DAT. Jednocześnie zamienia program .EXE w katalogu Windows/System na własną kopię. Następnie odebrany plik załącznika jest kasowany, a robak zapisuje się w pamięci komputera.

W32/Explorer wykorzystuje także kanał IRC, rozsyłając do jego użytkowników informację: FREE PORN:" target="_blank" class="link">http://free:porn@x.x.x.x:8180 (w miejsce x.x.x.x podawany jest adres IP zarażonego komputera). Po otwarciu strony pojawia się następujący komunikat:

Browser Plugin Required:

You may need to restart your browser for changes to take effect

Security Certificate by Verisign 2002

MD5: 9DD756AC-80E057FC-E00703A2-F801F2E3

Click HERE and choose "Run" to install.

Jeśli użytkownik wybierze instalację, robak umieści swoją kopię na jego komputerze, modyfikując rejestr Windows w ten sposób, aby wirus był uruchamiany przy każdym starcie systemu.

Pod adresemhttp://service.pandasoftware.es/library/virusCard.jsp?Virus=W32/Explorer można znaleźć szczegółowy opis działania worma oraz sposób jego usunięcia.