Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Coronex - wirusolog

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 12 KB i został stworzony przy użyciu języka programowania Assembler.

Robak aktywuje się z zainfekowanej wiadomości e-mail tylko wtedy, gdy użytkownik uruchomi załącznik.

Instalacja

Podczas instalacji robak kopiuje się z nazwą "corona.exe" do folderu Windows i rejestruje ten plik tworząc klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PC-Config32 = %WinDir%\corona.exe

Procedura instalacji zawiera błędy, jednak nie wpływają one na rozprzestrzenianie szkodnika.

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości e-mail szkodnik wykorzystuje bezpośrednie połączenie z serwerem SMTP "ns.execulink.com". Adresy "ofiar" pobierane są z plików WAB (książka adresowa Windows).

Pola zainfekowanych wiadomości mogą wyglądać następująco (od, temat, treść, nazwa załącznika):

  • sars@hotmail.com
    SARS
    Severe Acute Respiratory Syndrome
    sars.exe
  • sars2@hotmail.com
    I need your help
    Severe Acute Respiratory Syndrome
    corona.exe
  • corona@hotmail.com
    Virus Alert!
    SARS Virus
    virus.exe
  • virus@yahoo.com
    Corona Virus
    honk kong
    hongkong.exe
  • deaths@china.com
    bye
    deaths virus
    deaths.exe
  • virus@china.com
    SARS
    SEE Ya
    sars2.exe
  • virus2@china.com
    SARS Virus
    SARS Corona Virus
    cv.exe

Informacje dodatkowe

Robak kopiuje się do folderu "C:\My Downloads" z następującymi nazwami:

Cossacks Full Version.exe
Battlefield 1942 (full).exe
Warcraft III Full.exe
Jedi Knight II.exe
Quake 3 Full Version.exe
Starcraft full.exe
Doom 3.exe
Tribes 2 (full).ex
e Rainbow 6 Full.exe
Oni full.exe
White and Black.exe
Return to Castle Wolfenstien (Full).exe
Command & Conquer: Generals.exe
Black Hawk Down (full).exe
The Sims: Unleashed.exe
Age Of Mythology.exe
Dark Age of Camelot.exe
Ultima Online.exe
The Lord of the Rings.exe
Medel Of Honor: Allied Assault.exe
Grand Theft Auto 3 (full).exe
Unreal 2: The Awakening (full).exe
Unreal.exe
Master Of Orion 3.exe

Jeżeli na dysku C: nie istnieje folder "My Downloads" szkodnik tworzy swoje kopie w folderze, z którego został uruchomiony.

Podczas pierwszego uruchomienia robak wyświetla na ekranie następujący komunikat:

SARS Virus
corona virus

Ponadto szkodnik zmienia stronę startową przeglądarki Internet Explorer na witrynę poświęconą wirusowi SARS:

http://www.who.int/csr/don/2003_04_19/en



 2003-04-22  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych