Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Pepex - wyłącza programy antywirusowe

Jest to robak rozprzestrzeniający się poprzez internet jako załącznik zainfekowanych wiadomości oraz przy użyciu sieci KaZaA i kanałów IRC. Szkodnik ma postać pliku PE EXE o rozmiarze około 32 KB i został stworzony przy pomocy środowiska programistycznego Microsoft Visual C++.

Zainfekowane wiadomości posiadają następujące pola:

  • From: "Microsoft"
  • Reply-To: "Microsoft"
  • Subject: Internet Explorer vulnerability patch"
  • Treść: You will find all you need in the attachment
  • Załącznik: setup.exe

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik.

Instalacja

Podczas instalacji robak kopiuje się z nazwą "winsys???.exe" (gdzie '???' to losowy, trzycyfrowy numer) do systemowego folderu Windows i tworzy klucz auto-run w rejestrze systemowym:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run Windows task32 sys = %SystemDir%\winsys???.exe

Następnie robak tworzy archiwum ZIP zawierające kopię pliku "winsys???.exe". Archiwum jest tworzone przy użyciu narzędzia WinZip32 (jeżeli jest zainstalowane) i ma nazwę "win32sys???.zip" (gdzie '???' jest tym samym, losowym numerem). Archiwum jest wykorzystywane przez robaka podczas rozprzestrzeniania poprzez kanały IRC.

Dodatkowo robak tworzy klucz rejestru służący do oznaczania zainfekowanego systemu:

HKEY_LOCAL_MACHINE\Software\RedCell
infected = yes

Następnie szkodnik szuka w pamięci aktywnych procesów, których nazwy rozpoczynają się od liter "AV" lub "av" (programy antywirusowe) i próbuje zakończyć ich działanie.

Rozprzestrzenianie: wiadomości e-mail

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP lub z serwerem "smtp.barrysworld.com". Adresy "ofiar" pobierane są z plików ".HTM" zapisanych w katalogi przechowującym tymczasowe pliki internetowe.

Robak tworzy podczas rozprzestrzeniania dodatkowy plik "C:\Msbootlog.sys", w którym zapisuje własną kopię w formacie MIME.

Rozprzestrzenianie: kanały IRC

Robak tworzy w folderze mIRC plik SCRIPT.INI i zapisuje w nim komendę wysyłającą plik "win32sys???.zip" do wszystkich użytkowników przyłączających się do zainfekowanego kanału IRC.

Rozprzestrzenianie: sieć KaZaA

Robak kopiuje się do folderu aplikacji KaZaA z jedną z poniższych nazw:

  • icq2002.exe
  • wincrack.exe
  • winamp3.exe
  • mirc6.exe

Funkcje dodatkowe

Po zakończeniu instalacji robak wyświetla fałszywy komunikat informujący o wystąpieniu błędu:

Error
This program has performed an illegal operation

15 października szkodnik wyświetla następujący komunikat:

I-Worm/PiecebyPiece'

"Cause nothing ever lasts forever
We're like flowers in this vase, together
You and me, it's pulling me down
Tearing my down, piece by piece
And you can't see
That's it's like a disease
Killing me now, it's so hard to breathe"
-Feeder



 2002-09-18  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych