Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Leave - robak wyposażony we własny język skryptowy

Jest to robak internetowy rozprzestrzeniający się w systemach Win32. Wirus działa w oparciu o własny język skryptowy umożliwiający zdalnemu użytkownikowi zarządzać zainfekowanym komputerem. Dodatkowo robak ma możliwość pobierania i uruchamiania dodatkowych modułów (wtyczek). W rezultacie szkodnik może uaktualniać się poprzez strony WWW.

Po uruchomieniu robak kopiuje się do katalogu Windows z nazwą REGSV.EXE i umieszcza ten plik w sekcji auto-run rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
regsv = %windir%\regsv.exe

HKCU\Software\Mirabilis\ICQ\Agent\Apps
icqrun = %windir%\regsv.exe

Wirus pozostaje w pamięci jako ukryty proces systemu Windows i jest aktywny aż do momentu zamknięcia systemu operacyjnego.

Rozprzestrzenianie

Główny komponent robaka zawiera tekst będący hasłem backdoor'a SubSeven. Zatem wirus może zdalnie atakować maszyny już zainfekowane tym backdoor'em. W celu znalezienia adresów "ofiar" robak wykorzystuje procedury wyszukujące w Internecie adresy IP zdalnych maszyn.

Język skryptowy

Język skryptowy robaka udostępnia wiele możliwości. Pozwala on na wykonywanie następujących operacji:

  • pobieranie i instalowanie z Sieci dodatkowych plików EXE;
  • wyszukiwanie adresów IP według podenej maski;
  • łączenie się z serwerami IRC i uruchamianie komend IRC;
  • tworzenie, przenoszenie, usuwanie i uruchamianie plików na zainfekowanym komputerze.

Skrypty pobierane są przez robaka z różnych witryn. Poniżej znajduje się lista przykładowych adresów::

http://leavemealoneeeeeeeee.50megs.com
http://k000001.50megs.com
http://slinky.50megs.com
http://h0h0h0.home.dk3.com
http://h0h0h0.spites.com
http://love50gb.50megs.com
http://tonyjameshanks-sux.50megs.com
http://bababuhtml.50megs.com
http://zxcvbnm.com

Komendy skryptów zakodowane są 64-bitowym szyfrem.

Atak DoS

Robak przeprowadza ataki DoS (Denial of Service) na następujących stronach:

www.hotmail.com
www.internet.com
www.netscape.com
www.lycos.com
www.aol.com
www.msn.com
www.goto.com
www.excite.com
www.yahoo.com
www.altavista.com



 2001-06-28  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych