Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Burnox - instaluje backdoora

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz w systemie KaZaA. Dodatkowo wirus pobiera backdoora ze strony WWW i instaluje go w zainfekowanym systemie. Szkodnik ma postać pliku PE EXE o rozmiarze około 4 KB (po rozpakowaniu około 20 KB) i został stworzony przy pomocy języka programowania VisualBasic.

Instalacja

Podczas instalacji robak kopiuje się do systemowego folderu Windows z nazwą "MicrosoftUpdate.com" i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Update = %SystemDir%\MicrosoftUpdate.com

Dodatkowo robak tworzy klucz rejestru, w którym przechowuje własny licznik:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Startup = %licznik%

gdzie zmiennej %licznik% nadawana jest wartość '1'. Wartość ta jest zwiększana wraz z każdym uruchomieniem robaka. Licznik jest wykorzystywany jako mechanizm aktywujący procedury rozprzestrzeniające szkodnika.

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości robak korzysta z programu MS Outlook oraz jego książki adresowej. Wiadomości wyglądają następująco:

Temat: Important: Microsoft Windows Patch For Xp,2k,ME,98,95.

Treść:

Microsoft just release this patch for all versions of Microsoft Windows.
This update patches many of the recent vulnerabilities!
It is recommended that you patch your operating system now. Though it is not required.

*Please Note* This is not the actual Microsoft patch. The attached program is Microsoft Update

Nazwa załącznika: MicrosoftUpdate.com

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Rozprzestrzenianie - system Kazaa

Robak tworzy folder o nazwie "system16" w systemowym folderze Windows i zapisuje w nim swoje kopie o następujących nazwach:

kmd.exe              Game Trainer.exe    
Hacker.exe           icq2003a.exe
Game.exe             Hacks.exe
icq2003b.exe         App.exe
xbox Hacker.exe      icq2003Final.exe
App Crack.exe        Ps2 Bios Emulation.exe
icq2002a.exe         Cracker.exe
xbox Bios Hack.exe   icq2003a.exe
Games.exe            Game Hack.exe
icq crack.exe        Games trainer.exe
Burn ps2.exe         aim crack.exe
Trainer.exe          burn xbox.exe
icq lite.exe         Cheat.exe
burn dreamcast.exe   imeshv2.exe
Burn ps2 Games To A Single CD-R.exe

Następnie folder "system16" jest rejestrowany jako współdzielony zasób systemu Kazaa.

Instalowanie backdoora

Robak pobiera ze strony WWW backdoora "Backdoor.Slackbot", zapisuje go w folderze "c:\unxrt.exe" i uruchamia.



 2002-12-19  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych