Il worm Pasobir si diffonde su chiavette USB

Il worm Pasobir tenta di infettare i computer e raccogliere password da dispositivi di archiviazione rimovibili, comprese le unità flash USB.

Il worm Pasobir crea solo due file sui computer selezionati. Fornisce a questi attributi nascosti e di sistema. Il worm tenta di disabilitare il software antivirus modificando il registro e interrompendo i processi. Quindi controlla regolarmente l'unità D. Se un utente collega qui un dispositivo di archiviazione rimovibile, copierà immediatamente i propri file su di esso. Garantisce inoltre che i file infetti vengano eseguiti automaticamente quando il dispositivo viene ricollegato.

Pasobir cerca principalmente di ottenere password per i servizi di messaggistica istantanea. Le informazioni raccolte vengono inoltrate a un indirizzo email predefinito o caricate su un sito web. Quindi scarica vari file da Internet.

Quando il worm Pasobir si avvia, esegue le seguenti azioni:

1. Creare i seguenti file:
% System% \ SVOHOST.exe
% System% \ winscok.dll

2. Il database di registrazione
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
aggiunge alla tua chiave
“SoundMam” = “%System%\SVOHOST.exe”.

3. Si tenta di disabilitare il software antivirus arrestando i processi e modificando il registro.

4. Verificare a intervalli regolari che un dispositivo di archiviazione portatile sia collegato all'unità D. In tal caso, copia il tuo file come sxs.exe su di esso.

5. Crea anche un file autorun.inf sul dispositivo di archiviazione che avvia il worm immediatamente quando il dispositivo di archiviazione viene montato.

6. Raccogli i nomi utente e le password per i servizi di messaggistica istantanea e inviali a un indirizzo e-mail predefinito o caricali su un sito web.

7. Scarica file da Internet.