Lastword – robak e-mailowy

Lastword to robak internetowy napisany w języku Visual Basic Script, który poza rozprzestrzenianiem się usuwa również jeden istotny plik systemowy.

Robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: Vazna informacija!
Treść: Postovani korisnice! Ovo je novi Update koji ce zastiti Vas kompjuter od internet crva! Da bi instalirali ovaj update molim pokrenite datoteku koja Vam je dosla uz attachment pod imenom

lub

Treść: Cijenjeni korisnice! Update koji Vam je dosao kao attachment sluzi kao patch da bi ste se zastitili od mnogobrojnih internet crva i virusa!

lub

Treść: Instalirajte ovu datoteku koja ce rijesiti problem TypeLib kod IE_5.0! Unaprijed hvala!

Po uruchomieniu przez użytkownika pliku załącznika robak aktywizuje się, tworząc własną kopię w katalogu c:\windows w pliku o jednej z nazw:

posta_update.exe
win_update.exe
win32_update.exe
bihnet.exe

W kolejnym etapie swego działania Lastword rozsyła własne kopie w postaci załącznika do listu elektronicznego do wszystkich adresatów znajdujących się w książce adresowej systemu Windows, używając do tego program Microsoft Outlook lub Outlook Express.

Po dokonaniu wysyłki robak rozpoczyna wyświetlanie serii komunikatów przeplatanych restartami komputera. Najpierw, po pierwszym restarcie pojawia się komunikat: Some errors occured while system tries to update! Please try again!. Po kolejnym restarcie pojawia się inny komunikat: I said some errors occured while system tries to update! Please update as soon as possible!. Po trzecim restarcie robak kasuje istotny plik systemowy c:\windows\system.ini. Przy każdej aktywizacji robaka wysyła on list elektroniczny na adres gargamelaf@yhoo.com

Aby przywrócić system do działania, należy odtworzyć plik system.ini z kopii zapasowej bądź przeinstalować system Windows.