Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Worm.Bumerang - instaluje w systemie CIH'a

Jest to bardzo niebezpieczny robak Win32. Ma postać pliku PE EXE o rozmiarze około 23 KB (plik jest skompresowany przy użyciu narzędzia UPX), napisanego w języku programowania Visual C++.

Szkodnik wykorzystuje odwołania charakterystyczne dla systemów Win9x i dlatego może funkcjonować tylko w tych systemach. Ze względu na swoją sieciową "naturę" wirus może infekować pliki przechowywane na maszynach działających pod kontrolą systemu Windows NT/2000 jednak nie może się na nich uruchamiać.

Procedury wirusa

Gdy zainfekowany plik zostanie uruchomiony wirus przejmuje kontrolę i kopiuje się do katalogu systemowego Windows z nazwą DDRAW32.DLL. Gdy podczas wykonywania tej procedury wystąpi błąd wirus wyświetla na ekranie komunikat: "Fatal error".

Wirus posiada następujące procedury:

  • Procedura tworząca klucz auto-run w rejestrze systemowym:

    HKLM\Software\Microsoft\Windows\CurrentVersion\
    RunServicesOnce = %SystemDir%\DDRAW32.DLL

    W momencie uruchamiania aplikacji REGEDIT wirus tymczasowo usuwa ten klucz, ukrywając w ten sposób swoją obecność w systemie.

  • Infekowanie sieci lokalnej. Procedura ta pozostaje w uśpieniu przez około cztery minuty, po czym określa zasoby sieciowe (udostępnione dyski) i infekuje zapisane na nich pliki.

    Jeżeli napęd jest zmapowany z ograniczonym dostępem wirus próbuje zalogować się jako "gość".

  • Procedura dodatkowa. Robak przechowuje w rejestrze systemowym datę i czas swojego pierwszego uruchomienia. W zależności od czasu jaki upłynął od swojego pierwszego uruchomienia wirus kończy działanie aktywnych procesów z poniższej listy:

    Msgsrv32, Mprexe, Explorer, Taskmon, Internat, Systray, Mmtask, ddraw32

    po czym rozpakowuje ze swojego kodu wirusa "Win95.CIH" do pliku RUN.EXE i uruchamia go.

  • Operacje sieciowe. Wirus podsłuchuje wszystkie zainfekowane maszyny i jeżeli wykryje uruchomienie jednej ze swoich procedur wysyła do dostępnych w sieci komputerów polecenie, które powoduje ich natychmiastowe zawieszenie.

Ukrywanie się

Szkodnik ukrywa w systemie swój plik DDRAW32.DLL. W tym celu przechwytuje wszystkie odwołania do funkcji wyszukujących ten plik i zwraca wartość "nie znaleziono pliku".

Funkcje dodatkowe

Szkodnik modyfikuje poniższe klucze rejestru systemowego:

HKLM\System\CurrentControlSet\Services\Class
id
go

HKLM\Enum\Network
cnum
inum

W kodzie wirusa zapisany jest następujący tekst:

Bumerang



 2001-11-22  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych