BlackWorm – nowy robak

Pojawiła się nowa wersja robaka znanego jako BlackWorm, Nyxem, Blackmal, Blueworm, Grew. Z przeprowadzonych analiz wynika, że robak posiada niebezpieczną funkcjonalność. W dniu 3 lutego 2006 skasuje on pliki pewnych typów znajdujące na dyskach zainfekowanych hostów.

W chwili obecnej liczbę zarażonych komputerów szacuje się na około 700.000. W każdy 3 dzień miesiąca robak wyszukuje plików *.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.zip, *.rar, *.pdf, *.psd oraz *.dmp na wszystkich dyskach lokalnych, kasuje ich zawartość i wpisuje do nich ciąg tekstowy „DATA Error [47 0F 94 93 F4 K5]”.

Nyxem.E rozprzestrzenia się głównie poprzez rozsyłanie zainfekowanych wiadomości, zawierających zazwyczaj jeden z poniższych załączników:

007.pif
School.pif
04.pif
photo.pif
DSC-00465.Pif
image04.pif
677.pif
New_Document_file.pif
eBook.PIF
document.pif
DSC-00465.pIf
Video_part.mim
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
3.92315089702606E02.UUE
SeX.mim
Sex.mim
Original Message.B64
WinZip.BHX
eBook.Uu
Word_Document.hqx
Word_Document.uu

Robak dodatkowo wyszukuje zdalnych, współdzielonych folderów i próbuje się do nich kopiować jako:
\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Sygnatury wykrywające robaka dla systemu detekcji intruzów Snort dostępne są na stronie LURHQ Threat Intelligence Group.

Źródło informacji: CERT Polska
http://www.f-secure.com/v-descs/nyxem_e.shtml
http://wirusy.antivirenkit.pl/pl/opis/Email-Worm.Win32.Nyxem.e.html
http://www.symantec.com/avcenter/venc/data/w32.blackmal.e@mm.html