Win32.PiBi.B@mm

Tip: Executable Mass-mailer & IRC / P2P Worm Marimi: 32256 bytes (65-70 KB decomprimat, ~30 KB cand e comprimat ZIP) Raspandire: Medie Simptome: - fisierele denumite "wsysNNN.exe" si

Tip: Executable Mass-mailer & IRC / P2P Worm Marimi: 32256 bytes (65-70 KB decomprimat, ~30 KB cand e comprimat ZIP) Raspandire: Medie Simptome: - fisierele denumite "wsysNNN.exe" si "w32sysNNN.zip" in subdirectorul "System" din directorul Windows (NNN un nume ales aleator); - cheia din registrii "HKCU\Software\Microsoft\Windows \CurrentVersion\Run\Kernel\32.dll module"; - fisierul C:\boot64.bin (continand viermele in format base64); - fisierul modificat script.ini in directorul mIRC; - unul din fisierele urmatoare (cu o marime de aprox. 32 KB !) in directoarele partajate ale Kazaa/Morpheus/BearShare/eDonkey2000: wmplay9.exe; wamp3.exe; winxpserial.exe; kmd22.exe. Descriere tehnica: Cea de-a doua versiune a acestui vierme se raspandeste, de asemenea, prin intermediul e-mail-ului, IRC si aplicatiilor de partajare a fisierelor; acest virus a fost scris in Visual C++ si a fost comprimat cu UPX. Virusul ajunge ca atasament la un mesaj de e-mail in una dintre formele urmatoare: Attachment: install.exe Virusul va incerca sa termine executarea unor programe antivirus, prin scanarea dupa module ce contin, in cadrul numelor, unul din urmatoarele siruri de caractere: AV, F-, av, NOD32, SCAN, MON, ALERT, ANTIVIR, PCCW, PCC, FP-, TRAP, TDS2-, VET, SWEEP, MCAFEE, FIREW, DVP, CFI, ICL, VSHW. Cand ruleaza pentru prima oara virusul: - va crea urmatoarea cheie in registrii "HKLM\Softwarer\ PieceByPieceB\inf" cu valoarea "yep"; - va realiza o copie a sa in \system\wsysNNN.exe, si va crea cheia din registrii "HKCU\Software\Microsoft\Windows\ CurrentVersion\Run\Kernel32.dll module" cu scopul ca, de fiecare data la repornirea Windows-ului, sa fie rulata respectiva copie a virusului. - se va copia in directoarele partajate ale Kazaa, Morpheus, BearShare si eDonkey2000, cu scopul ca virusul sa se raspandeasca si la alti utilizatori ai acestor aplicatii de partajare a fisierelor; - isi va crea o arhiva de tip .zip in \system\w32sysNNN.zip si va modifica script.ini din directorul mIRC pentru a trimite aceasta arhiva si altor utilizatori de pe server-ul de chat; utilizatorul infectat va intra automat pe canalul de chat #pbpB; - va crea o copie encodata-base64 a virusului in C:\boot64.bin si va trimite mesaje de e-mail catre acele adrese gasite prin scanarea fisierelor *.htm din directorul Temporary Internet Files; Dezinfectie manuala: Stergeti cheia din registrii si fisierele mentionate in sectiunea simptome; pentru a realiza acest lucru este posibil sa fiti nevoiti sa reporniti Windows-ul in Safe Mode. Virusii din aceasta rubrica au fost studiati de Softwin si pot fi eliminati cu antivirusul romanesc BitDefender (AVX).