Win32.MsnWorm.Rodok.A

Alias: Worm.Win32.Fleming (Kaspersky) Tip: Executable Worm Marime: 53248 bytes Raspandire: Redusa Risc: Scazut Simptome: - rularea unui proces denumit "BR2002" (acesta poate fi vazut prin

Alias: Worm.Win32.Fleming (Kaspersky) Tip: Executable Worm Marime: 53248 bytes Raspandire: Redusa Risc: Scazut Simptome: - rularea unui proces denumit "BR2002" (acesta poate fi vazut prin apasarea-dreapta - pe taskbar si lansarea Task Manager). Descriere tehnica: Acest vierme se raspandeste prin invitatia periculoasa de descarcare a virusului adresata contactelor din lista MSN Messenger a utilizatorului; virusul a fost scris in Visual Basic. Virusul este deghizat ca un generator de chei - CD pentru jocurile Half-Life/CounterStrike; cand ruleaza, virusul invita utilizatorul sa apese pe butonul "Generate", dar "Cheile" care rezulta sunt doar cifre aleatoare. Virusul fura cheile - CD ale utilizatorului pentru Half-Life si CounterStrike. Cheile sunt citite din urmatoarele chei din registrii: -HKCU\Software\Valve\CounterStrike\ Settings\Key -HKCU\Software\Valve\Half-Life\ Settings\Key si trimite la adresa styggefolk@hotmail.com; mesajul trimis arata astfel: I have loaded the ur CDKEY Generator 1.3! CS: HL: Pentru a se raspandi, viermele trimite mesaje instantanee contactelor utilizatorului prin care ii invita sa descarce si sa ruleze un program (de fapt, o copie a virusului) de pe un site web. Dupa aceea, virusul incearca sa descarce un fisier executabil din locatia http://home.no.net/downl0ad/CS-Keyhen.exe si sa il salveze ca C:\hehe2397824.exe. Daca utilizatorul primeste un mesaj de la adresa styggefolk@hotmail.com, va intreprinde o anumita actiune in functie de continutul mesajului respectiv: - daca mesajul este "hey", virusul va trimite din nou cheile CD CounterStrike/Half-Life; - daca mesajul este "hello", virusul va descarca un fisier (continand probabil o versiune actualizata a virusului) din locatia htto://home.no.net/downl0ad/Update.exe si il va salva ca C:\update35784.exe; un mesaj va fi trimis inapoi la adresa styggefolk@hotmail.com, continand textul "Updating..."; - daca mesajul este "hi", virusul va raspunde cu "Spamming..." si va trimite, din nou, invitatia de descarcare a virusului catre contactele utilizatorului. Viermele ruleaza fisierele executabile descarcate (C:\hehe2397824.exe, C:\update35784.exe), daca sunt gasite acesta va ramane rezident asteptand mesaje de la adresa styggefolk@hotmail.com. Dezinfectie manuala: Din Task Manager, selectati procesul denumit "BR2002" si apasati "End Task". De asemenea, ar trebui sa stergeti fisierul "br2002.exe" care contine viermele.