Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Runnelot - usuwa pliki

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 9 KB (20 KB po rozpakowaniu) i został stworzony przy użyciu języka programowania Assembler. Poza wysyłaniem wiadomości robak infekuje pliki EXE systemów Win32.

Instalacja

Podczas instalacji robak zapisuje swój kod pod nazwą "Runner.exe" w folderze systemowym Windows i tworzy klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Runner = Runner.exe /auto /rsrc32.dll

Infekowanie plików EXE

Robak dopisuje się do wszystkich plików PE EXE zapisanych na lokalnych i sieciowych dyskach twardych. W przypadku wystąpienia błędu szkodnik wyświetla następujący komunikat:

Error of loading WIN32.DLL file
Loading incomplete. Correct work is not warranted!
Continue?

General error 1452 in KERNEL32.DLLM
Program terminated

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje domyślny serwer SMTP. Adresy "ofiar" pobierane są z plików HTM zapisanych na dysku twardym. Są one ponadto przechowywane w pliku "runner.dll" tworzonym przez robaka w folderze systemowym Windows.

Zainfekowane wiadomości generowane są losowo na podstawie następującego schematu:

Od: "%część1%%część22%"

gdzie:

%część1% może wyglądać następująco: Dmitry, Eugene, Igor, Jhon, Mark, Bill, Frank, Sam, Tim, Brad, Samuel, Dean, Tom, Robert, Mostovoy, Losinsky, Kaspersky, Danilov, Smith, Woodruf, Brown, Steel, Driver, Seldon, Forge, Stab, McAndrew, Gregor

natomiast %część2% - @hotmail.com, @yandex.ru, @yahoo.com, @newmail.ru

Temat: %część1% %część2%

gdzie:

%część1%:

Weclome to Pink World
Blacks on Blondes
New porno movies every day
TONS of porno movies
Fucking Wifes

%część2%:

New FREE sex soft
FREE porno-soft
+ many FREE sex games

Treść wiadomości również jest generowana losowo. Oto możliwe warianty:

SUPERGAME!  +  Look as  +  fine      +  blonde
SEX SOFT!   +              hot          mom
                           black        hitchiker teen
                           dirty        girl
                           amateur      slut
                           petite       babe
                           busty        teen
                           wet          secretary
                           wild         wife

This is a free demo version, and we hope you want visit our web-site

+

Please visit our web site

+

WWW.EXPLOITEDPUSSY.COM
WWW.SLEAZYDREAM.COM
WWW.ALLHOTPORN.COM
WWW.TEENFILES.NET
WWW.ADULTMOVIESTATION.NET
WWW.DISCRETESEX.COM

+

to take more sex programs
to take full version

+

150 GIG OF DOWNLOADABLE MOVIES - FREE PASSWORD
HIGH QUALITY MPEGS - NEW SCENES EVERY DAY - 100k+ PICS TOO
Full lenght movies
THE BEST MOVIES ONLINE
HUGE archive of previous movies available! TONS of movies

+

Full screen quality
Ultra fast downloads
Updated every day
All in DVD quality
WEBMASTERS MAKE MONEY
GET FULL ACCESS TO OUR MEMBERS AREA FOR 30 MINUTES - FREE
GET YOUR 30 MINUTES FREE ACCESS
A new 150mb full lenght movie is added every day

+

Install NOW!!!
Installer in attach
Test our soft now!

Ponadto treść wiadomośći może być losowo wybierana spośród następujących możliwości:

We presents to you ours new sex game as adversting
Install a locator of FREE sex movies of our site as adversting
Install porno screen saver as adversting
This is a new imitator as adversting

Nazwa załącznika:

sexy       + girls.      + dll
hottest      blonde.
cumshot      pamela.
analsex      lesbians.
oralsex      teens.
asian        virgins.
hardcore     .
slut
doggy
sucking
messy

Funkcje dodatkowe

13 lutego, 7 i 16 marca, 21 kwietnia, 8 i 18 maja, 11 czerwca, 3 lipca, 29 sierpnia, 30 października, 5 i 26 listopada oraz 11 i 30 grudnia robak zastępuje swoją kopią wszystkie pliki zapisane w folderach "osobistych" ("Moje dokumenty", "Historia" itp.).



 2003-02-21  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych