|
        
|
I-Worm/Maldal.C
Win32:Maldal-C je dalším masově se posílajícím wormem, napsaným v programu Visual Basic. Přichází elektronickou poštou ve zprávě s přílohou nazvanou christmas.exe. Pro zjišťování adres dalších případných obětí využívá adresář programu MS-Outlook. Zpráva s virem má následující vlastnosti:Subject: Hii
Body:
I can't describe my feelings
But all i can say is
Happy New Year :)
bye
Attachment: Christmas.exe
Kromě šíření nastavuje počáteční stránku programu Internet Explorer na HTML stránku autora viru. Tato stránka pak obsahuje skript vytvořený v programu Javascript, který pro změnu vypouští skriptový virus napsaný ve VBS skriptu a instaluje skript pro program mIRC. Vypuštěný VBS script se pokouší smazat některé nainstalované antivirové a bezpečnostní programy.
Po spuštění se worm zkopíruje do adresáře Windows a modifikuje systémové
registry:
HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\ZaCker = %windows%\CHRISTMAS.EXE
HKLM\System\CurrentControlSet\Control\ComputerName\ ComputerName\ComputerName = ZaCker
HKCU\Software\Microsoft\Internet Explorer\Main\Start page = http://geocites.com/<...>/ZaCker.htm
Tyto změny znamenají, že worm je spuštěn při restartu, že jméno počítače
je změněno na Zacker a úvodní stránka programu Internet Explorerje nastavena
na výše uvedenou stránku autora. Worm také vykonává další destrukční činnost
- v systémovém adresáři Windows smaže všechny soubory s následujícími připonami:
DLL,
DRV,
VXD a TSP.
Zdroj: Alwil software - výrobce antiviru AVAST
