Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Fog - udaje program antywirusowy

Jest to pocztowy robak działający w systemach Win32 posiadający funkcje DDoS (Disrtributed Denial od Service). Szkodnik ma rozmiar około 180 kB (w postaci spakowanej, rozpakowany robak zajmuje około 500 kB) i napisany jest w środowisku programistycznym Delphi.

Robak rozsyła się do innych maszyn jako plik AntiVirus.exe załączony do wiadomości e-mail. Podczas rozprzestrzeniania wirus wykorzystuje MAPI w celu połączenia się z klientem poczty elektronicznej. Następnie szkodnik wysyła na kanał IRC informacje o zainfekowanych komputerach i aktywuje swoje procedury backdoor oraz DDoS, które umożliwiają zdalnemu użytkownikowi manipulowanie zainfekowaną maszyną i uruchamianie na niej ataków DoS.

Gdy zainfekowany plik zostanie uruchomiony robak wyświetla okno z poniższym tekstem:

Explorer
i reb00t
[OK]

Gdy użytkownik wciśnie przycisk OK robak kopiuje się do katalogu Windows z nazwą "AntiVirus.exe" oraz do katalogu Windows Fonts z nazwą "Times New Roman.exe". Drugi plik jest umieszczany w sekcji auto-run rejestru systemowego:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices Windows = %windows font directory%\Times New Roman.exe

Wysyłane przez robaka wiadomości wyglądają następująco:

Temat: I think that you sent me a virus.. heres a cleaner
Treść: I took my computer to the shop and they ran this, and told me to send it to you.. hope this helps.
Nazwa załącznika: AntiVirus.exe

Ponadto robak usuwa pliki NETSTAT.EXE oraz REGEDIT.EXE zapisane w katalogu Windows. Następnie szkodnik wyszukuje aktywne procesy programów antywirusowych i próbuje je zamknąć:

APLICA32.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET32.EXE, CFINET.EXE, IAMSERV.EXE, IAMAPP.EXE, PCFWallIcon.EXE FRW.EXE, VSHWIN32.EXE, VSECOMR.EXE, WEBSCANX.EXE, AVCONSOL.EXE, VSSTAT.EXE, NAVAPW32.EXE, NAVW32.EXE, _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, AVP32.EXE, AVPCC.EXE, AVPM.EXE, AVP.EXE, LOCKDOWN2000.EXE, ICLOAD95.EXE, ICMON.EXE, ICSUPP95.EXE, ICLOADNT.EXE, ICSUPPNT.EXE, TDS2-98.EXE, TDS2-NT.EXE, ZONEALARM.EXE, MINILOG.EXE, SAFEWEB.EXE, IFACE.EXE, ANTS.EXE, ANTI-TROJAN.EXE, BLACKICE.EXE, BLACKD.EXE, VSMON.EXE, WRCTRL.EXE, WRADMIN.EXE, CLEANER3.EXE, CLEANER.EXE, TCA.EXE, MOOLIVE.EXE, SPHINX.EXE

W kodzie robaka zapisana jest sygratura jego twórcy:

[Fist Of God]
[Remote DDoS]
[v2.7b]



 2001-07-02  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych