Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Ciosor - wyłącza klawisze myszy i przesuwa kursor

Jest to robak internetowy rozprzestrzeniający się poprzez Internet w postaci pliku załączonego do wiadomości e-mail. Wirus ma postać pliku Windows PE EXE o rozmiarze około 107KB. Szkodnik został napisany w języku programowania Visual Basic (VB5).

Robak uaktywnia się z zainfekowanej wiadomości tylko gdy użytkownik kliknie na załączonym pliku. Następnie wirus instaluje się w systemie, uruchamia swoje procedury rozprzestrzeniające oraz funkcje dodatkowe.

Zainfekowane wiadomości posiadają różną treść oraz różne nazwy załączonych plików. Szkodnik wybiera nazwy spośród poniższych możliwości:

Tematy wiadomości:

Cuidado con los virus!!!
Tienes un virus!!!
Me lo baje de Internet
Una cońa de la red

Treści wiadomości:

%nazwa wirusa% ("Nimda", "Magistr" lub "Sircam").

Saludos
Me ha llegado el virus %virusname%, de tu ordenador, ya es la segunda vez Pasa la vacuna que te envío, de Norton Antivirus ĄY ten mas cuidado la próxima vez!

Un Saludo
Por Favor, revise su ordenador, me ha enviado el virus %virusname% Le envío la vacuna facilitada por Norton Antivirus

Un Saludo
Hola, perdona, que te moleste, pero me has enviado un virus, el %virusname% Te envío la vacuna de panda, ĄTen mas cuidado la próxima vez!

Hola
Te envío un fichero que me bajado de Internet, es una broma. mueve él Ratón por toda la pantalla. No se quita ni pulsando control+alt+supr, Jeje, al final hay que reiniciar.

Nazwy załączników:

MueveRaton.exe
AntiMagistr.exe
AntiNimda.exe
AntiSircam.exe

W celu wysyłania zainfekowanych wiadomości robak skanuje pliki *.EML, *.NWS, oraz *.DBX, pobiera z nich adresy "ofiar", łączy się z serwerem SMTP smtp.terra.es i wysyła zainfekowane wiadomości.

Instalacja

Podczas instalacji robak kopiuje się do systemowego katalogu Windows z nazwą REGWIZ.EXE (nadpisując oryginalny plik REGWIZ.EXE), i umieszcza ten plik w kluczu auto-run rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
regwiz = %systemdir%\regwiz.EXE

Ponadto szkodnik ustawia dla swojego pliku atrybuty tylko do odczytu, ukryty oraz systemowy.

Na koniec robak wyświetla komunikat:

no es una aplicación Win32 válida
[ OK ]

Funkcje dodatkowe

Robak dodaje fo pliku C:\MSDOS.SYS komendę:

BootKeys=0

W rezultacie niemożliwe jest zatrzymanie oraz śledzenie procesu uruchamiania systemów operacyjnych Win9x.

Następnie szkodnik pozostaje w pamięci Windows jako ukryta aplikacja i uruchamia kolejną procedurę dodatkową - wyłącza przyciski myszy i przesuwa kursor w losowe miejsce ekranu.

Dodatkowo robak uruchamia własny wewnętrzny licznik w poniższym kluczu rejestru systemowego:

HKCU\Software\VB and VBA Program Settings\regwiz\config
ejec = %numer%

i zwiększa wartość %numer% po każdym uruchomieniu. Gdy licznik osiągnie wartość 75, robak zmienia poniższy klucz rejestru:

HKCU\Control Panel\Desktop\
ScreenSaveActive = 0
zamyka system Windows i restartuje komputer.



 2001-11-05  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych