Robak ten rozprzestrzenia się jako załącznik zainfekowanych wiadomości. Załącznik nie zawiera kopii robaka, ale komponent, który pobiera inne szkodliwe programy za pośrednictwem Internetu.

Zainfekowane wiadomości zostaną wysłane na wszystkie adresy e-mail pobrane z zaatakowanego komputera.

Robak ma postać pliku PE EXE. Rozmiar zainfekowanych plików może różnić się od 63KB do 120KB.

Instalacja

Po uruchomieniu robak wyświetla następujący komunikat:

Następnie robak kopiuje swój plik wykonywalny do foldera systemowego jako "pgpswuau.exe":

%System%pgpswuau.exe

Szkodnik tworzy następujące pliki:

%System%pgpswuau.dll

Plik ma rozmiar 98 304 bajtów.

Następnie robak tworzy następujący klucz rejestru systemowego:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifypgpswuau]
"DllName" = "%System%pgpswuau.dll"
"Startup" = "WlxStartupEvent"cd
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Rozprzestrzenianie - poczta elektroniczna

Robak pobiera adresy e-mail z książek adresowych systemu Windows.

Robak wykorzystuje swój silnik SMTP w celu wysyłania zainfekowanych wiadomości.

Przykład zainfekowanej wiadomości

Załącznik zawiera komponent robaka, który potrafi pobierać inne szkodliwe programy za pośrednictwem Internetu.

Nazwa załącznika

Update-KB -x86.exe

Funkcje szkodnika

Szkodliwe funkcje głównego komponenta

Robak potrafi zamykać szereg różnych procesów oraz usuwać usługi związane z rozwiązaniami antywirusowymi i zaporami ogniowymi.

Główny plik wykonywalny robaka będzie pobierał inne szkodliwe programy ze strony zdalnego szkodliwego użytkownika i instalował je na zaatakowanym komputerze.

Szkodliwe funkcje komponenta wysyłanego w załączniku

Komponent ten zostanie wysłany przez główny komponent robaka. Będzie pobierał inne pliki z Internetu bez wiedzy czy zgody użytkownika.

Komponent ten pobiera plik z następującego odsyłacza:

http://xuyhadesunkadwi.com/***32.exe

W momencie tworzenia tego opisu w odnośniku tym była zlokalizowana najnowsza wersja pliku wykonywalnego robaka.

Pobrany plik zostanie zapisany w folderze tymczasowym systemu Windows pod losowo wybraną nazwą. Następnie plik zostanie uruchomiony w celu wykonania.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu backdoora.
2. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
3. Ręcznie usuń poniższe pliki z foldera systemowego:

   %System%pgpswuau.dll
   %System%pgpswuau.exe
   

4. Usuń następujący parametr z rejestru systemowego:

   [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifypgpswuau]

5. Usuń wszystkie zainfekowane wiadomości z wszystkich folderów pocztowych.
6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).