Wirus usuwa pliki DLL
Firma Kaspersky Lab informuje o pojawieniu się groźnego wirusa, pochodzącego najprawdopodobniej z Turcji - o nazwie AmusJest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 50 KB (kompresja Yoda). Szkodnik został napisany w Visual Basic-u. Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik.
Po uruchomieniu szkodnik wykonuje następujące operacje:
tworzy unikatowy identyfikator o nazwie Masum;
podejmuje próbę aktywowania funkcji ISpeechVoice.Speak i odtworzenia następującego tekstu:
How are you. I am back. My name is mister hamsi.
I am seeing you. Haaaaaaaa.
You must come to turkiye.
I am cleaning your computer.
5. 4. 3. 2. 1. 0. Gule. Gule.
Następnie robak kopiuje się do folderu głównego dysku C z nazwą masum.exe oraz do folderu Windows z następującymi nazwami:
Adapazari.exe
Ankara.exe
Anti_Virus.exe
Cekirge.exe
KdzEregli.exe
Messenger.exe
Meydanbasi.exe
My_Pictures.exe
Pide.exe
Pire.exe
oraz tworzy dla pliku KdzEregli.exe następujący klucz w rejestrze systemowym:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Microzoft_Ofiz"="%WINDIR%KdzEregli.exe"
Ponadto szkodnik tworzy klucz:
[HKCUSOFTWAREMicrosoftMasumWho]
"Who"="OnEmLi_DeGiL"
Robak wykorzystuje do wysyłania zainfekowanych wiadomości e-mail program MS Outlook oraz jego książkę adresową. Zainfekowane wiadomości wyglądają następująco:
Temat:
Listen and Smile
Treść:
Hey. I beg your pardon. You must listen.
Nazwa załącznika: Masum.exe
1, 6, 20 oraz 25 dnia każdego miesiąca robak zmienia adres URL strony startowej przeglądarki Internet Explorer na tekst:
Konneting du pepil and dizkoneting you.
Anlami: Baglansan ne olacak, baglanmasan ne olacak.
Zaten hatlar burada rezalet.
2, 15 oraz 17 dnia każdego miesiąca szkodnik usuwa wszystkie pliki INI zapisane w folderze Windows.
10 oraz 23 dnia każdego miesiąca szkodnik usuwa wszystkie pliki DLL zapisane w folderze Windows.
