Robak tworzy swoją kopię na dysku w pliku avserve.exe oraz modyfikuje tak rejestr, by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak uruchamia również na zainfekowanej maszynie serwer FTP działający na porcie 5554. Następnie robak łączy się z komputerami, których adresy IP wybiera losowo. Jeżeli komputery te działają pod kontrolą jednego z następujących systemów: Windows NT/2000/XP/2003 Server oraz nie są zabezpieczone odpowiednią łatą robak, łącząc się przez port 445 ze zdalnym komputerem, uruchamia kod powodujący pobranie kopii robaka z atakującego komputera z uruchomionym serwerem FTP.
Pobrane kopie zapisywane są na dysku w plikach o nazwie (4-5 losowych cyfr)-up.exe. Działanie robaka może objawiać się dużym spowolnieniem systemu Windows.
Sobig.F
- znany również jako: Worm.Sobig.F, rozsyłają swoje kopie za pomocą poczty elektronicznej. Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego. Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku winppr32.exe oraz modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie systemu Windows.
W kolejnym etapie swego działania robak rozprzestrzenia się w sieci lokalnej starając się stworzyć swoje kopie na innych komputerach w następujących katalogach (jeżeli są dostępne do zapisu):
c:UsersMenu lub c:and SettingsUsersMenu. Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znalezionych w plikach z rozszerzeniami wab, dbx, htm, html, eml, txt.
Dołącz do nas na Facebooku!
Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!
Kontakt z redakcją
Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?
