Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

I-Worm/Maldal.C

Win32:Maldal-C je dalším masově se posílajícím wormem, napsaným v programu Visual Basic. Přichází elektronickou poštou ve zprávě s přílohou nazvanou christmas.exe.  Pro zjišťování adres dalších případných obětí využívá adresář programu MS-Outlook. Zpráva s virem má následující vlastnosti:
Subject: Hii
Body:
     I can't describe my feelings
     But all i can say is
     Happy New Year :)
     bye
Attachment: Christmas.exe

Kromě šíření nastavuje počáteční stránku programu Internet Explorer na HTML stránku autora viru. Tato stránka pak obsahuje skript vytvořený v programu Javascript, který pro změnu vypouští skriptový virus napsaný ve VBS skriptu a instaluje skript pro program mIRC. Vypuštěný VBS script se pokouší smazat některé nainstalované antivirové a bezpečnostní programy.

Po spuštění se worm zkopíruje do adresáře Windows a modifikuje systémové registry:
HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\ZaCker = %windows%\CHRISTMAS.EXE

HKLM\System\CurrentControlSet\Control\ComputerName\ ComputerName\ComputerName = ZaCker

HKCU\Software\Microsoft\Internet Explorer\Main\Start page = http://geocites.com/<...>/ZaCker.htm

Tyto změny znamenají, že worm je spuštěn při restartu, že jméno počítače je změněno na Zacker a úvodní stránka programu Internet Explorerje nastavena na výše uvedenou stránku autora. Worm také vykonává další destrukční činnost - v systémovém adresáři Windows smaže všechny soubory s následujícími připonami: DLL, DRV, VXD a TSP.

Zdroj: Alwil software - výrobce antiviru AVAST


Zpět