Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Myba - modyfikacja "słynnego" LoveLetter'a

Jest to robak internetowy, rozprzestrzeniający się w wiadomościach e-mail wysyłanych z zainfekowanych komputerów. Wirus korzysta z książki adresowej programu MS Outlook. Robak jest napisany w języku VisualBasic, a jego kod bazuje na znanym wirusie "LoveLetter". Wirus infekuje wiele rodzajów plików a niektóre z nich niszczy.

Gdy szkodnik zostanie uruchomiony (użytkownik musi kliknąć na załączonym do wiadomości pliku), wysyła swoje kopie poprzez e-mail, instaluje się w systemie i uruchamia procedury destrukcyjne.

Robak wysyła się jako wiadomość e-mail z załączonym plikiem EXE:

Temat: My baby pic !!!
Treść: Its my animated baby picture !!
Załączony plik: mybabypic.exe

Po uaktywnieniu przez użytkownika, robak otwiera książkę adresową programu MS Outlook, pobiera z niej wszystkie adresy i wysyła pod nie zainfekowane wiadomości.

Następnie, robak instaluje się w systemie. Tworzy swoje kopie w katalogu systemowym Windows:

WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE

i umieszcza je w sekcji auto-run rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\mybabypic = %WinSystem%\mybabypic.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\WINKernel32 = %WinSystem%\WINKernel32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices = %WinSystem%\Win32DLL.exe

gdzie %WinSystem% to nazwa katalogu systemowego Windows. W rezultacie wirus będzie uruchamiał się wraz z każdym startem systemu operacyjnego.

Dodatkowo, robak tworzy klucz rejestru:

HKCU\Software\Bugger
Default = HACK[2K]
mailed = %numer%

gdzie %numer% przyjmuje wartość od 0 do 3 w zależności od czynności, którą w danej chwili wykonuje wirus: instalowanie, rozprzestrzenianie lub uruchamianie dodatkowych procedur.

W zależności od daty i czasu systemowego robak:

  • włącza/wyłącza klawisze NumLock, CapLock oraz ScrollLock
  • wysyła do bufora klawiatury wiadomość .IM_BESIDES_YOU_
  • łączy się ze stroną http://www.youvebeenhack.com i wysyła do niej jeden z tekstów: FROM BUGGER, HAPPY VALENTINES DAY FROM BUGGER, HAPPY HALLOWEEN FROM BUGGER

Dodatkowo, wirus niszczy i atakuje inne pliki. Skanuje drzewa podkatalogów na wszystkich dostępnych dyskach i w zależności od rozszerzeń plików, wykonuje na nich różne czynności:

  • VBS, VBE: wirus niszczy zawartość takich plików.
  • JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: robak tworzy nowy plik, posiadający nazwę oryginału z rozszerzeniem zmienionym na EXE i kopiuje do niego swój kod. Oryginalny plik jest usuwany.
  • JPG, JPEG: robak wykonuje powyższe czynności, lecz dodaje rozszerzenie EXE do pełnej nazwy oryginalnego pliku. Przykładowo, nazwa pliku "PIC1.JPG" zostanie zmieniona na "PIC1.JPG.EXE".
  • MP2, MP3, M3U: robak tworzy nowy plik z rozszerzeniem EXE (przykładowo, dla pliku "SONG.MP2" powstanie "SONG.MP2.EXE") i zapisuje do niego swój kod. Oryginalny plik zostaje ukryty.


 2001-03-01  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych