Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Totilix - nadpisuje pliki EXE

Jest to bardzo niebezpieczny robak internetowy rozprzestrzeniający się w wiadomościach e-mail. Po uruchomieniu szkodnik nadpisuje swoją kopią wszystkie pliki EXE zapisane w katalogu Windows, z wyjątkiem EMM386.EXE, SETVER.EXE oraz plików, które są uruchomione lub chronione przez system operacyjny (przykładowo EXPLORER.EXE).

Robak rejestruje w systemie swój plik aby uruchamiać się wraz z każdym startem Windows (powód tej rejestracji nie jest znany - po nadpisaniu przez wirusa plików EXE system nie uruchomi się już w ogóle). Szkodnik tworzy nowy klucz auto-run w rejestrze systemowym:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run RunAVUpdate = "nazwa pliku robaka"

gdzie "nazwa pliku robaka" jest nazwą pliku, z którego wirus został uruchomiony.

Ponadto robak tworzy klucz "identyfikacyjny":

HKEY_LOCAL_MACHINE\Software\Microsoft\AVUpdte\Install

który informuje go, że system jest już zainfekowany i tym samym nie jest konieczne nadpisywanie plików oraz wysyłanie zarażonych wiadomości.

Rozprzestrzenianie

Robak nie pobiera adresów ofiar z książki adresowej programu MS Outlook jak robią to inne szkodniki tego typu, lecz nakłania użytkownika do wyboru adresu użytkownika, do którego wysłana zostanie zainfekowana wiadomość wyświetlając fałszywy komunikat:

AV Intelligent Updater
Please select email address to send at your friend
Select email address with 'a' only not with 'A'
[OK]

Następnie szkodnik przy użyciu funkcji MAPI uruchamia klienta pocztowego, aktywuje jego książkę adresową, oczekuje na wybór użytkownika i wysyła zainfekowane wiadomości pod wskazane adresy. Wiadomość wygląda następująco:

Temat: Virus Alert Update: New VBS.LoveLetter Threat
Treść:

Hi Friend,
This mail contains a new AV intelligent updater for all antivirus.
To install it, execute the attachment file
if you have any problem, send mail at antivirus@hotmail.com

Nazwa załączonego pliku jest taka sama jak nazwa pliku, z którego robak został uruchomiony.

Jeśli podczas wybierania adresu lub wysyłania wiadomości wystąpi błąd, robak usuwa wszystkie pliki zapisane w katalogu Windows i wyświetla fałszywe komunikaty o błędach:

The recipient requested has not been or could not be resolved to a unique address list entry
The recipient could not be resolved to any address.The recipient might not exist or might be unknown
One or more unspecified errors occured
The name was not resolved
There was insufficient memory to proceed
The operation was not supported by the messaging system
The user was cancelled one or more dialog box

Jeśli wysyłanie zainfekowanej wiadomości zakończy się pomyślnie, wirus wyświetla komunikat:

AV Intelligent Updater
Internal error occured when you have launch this program
Contact antivirus@hotmail.com or others AV

Inne sposoby ujawniania się robaka

W zależności od daty i czasu systemowego robak usuwa pliki zapisane w katalogu Windows i wyświetla komunikaty:

  • 13 dnia każdego miesiąca jeśli liczba sekund wynosi 30:

    Virus Win32.AVUpdate
    Attention, votre PC est en danger!!!!!
    Car ceci est ma veritable identite
    Veuillez contacter votre centre AV le plus proche

  • 2 lutego:

    Win32.Eva by Benny, (c) 1999
    Hello stupid user, i'm so sorry but i have to interrupt your work,
    Cause i hate this shitty program. Click OK to continue
    Greets to:
    Super/29A
    Darkman/29A
    Jack Qwerty/29A
    Billy Belcebu/DDT
    And many other 29 Aers...

  • 9 maja:

    Win32.3x3eyes coded by: Bumblee[UC]
    This is my last contribution to Ultimate Chaos team Greetings UC brothers

  • 5 kwietnia:

    Virus Report rev 2.1
    SPIT.Win32 is a Bumblee Win32 Virus
    Feel the power of spain and die by the SpiT!

  • 24 września:

    TOTILIX Presents...
    This >TOTILIX< Virus was assembled at the city of Oporto Portugal!
    Gas_par@hotmail.com
    (c) 1999 G@SP@R aka Sexus

Warianty robaka

Istnieje kilka znanych wersji robaka. Różnią się one od oryginału wartościami kluczy rejestru, treścią komunikatów oraz sposobami ujawniania swojej obecności:

Totilix.b

  • Klucz rejestru:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices ILoveBritney = "nazwa pliku robaka"

  • Komunikaty:

    ILoveBritney Freeware
    Please select email address to send at your friend
    This program open automaticaly your address book

    ILoveBritney Freeware
    Thanks to have take this freeware!!!!
    Which include new screen saver about britney
    Now, send this software to your friend who like me
    If you want to email me, send at britney@peeps.com

  • Wygląd wysyłanych wiadomości e-mail:

    Temat: New Britney Screen Saver
    Treść:

    Hi
    I Send you this mail to give you a new screen saver about Britney Spears.
    I hope your enjoy to have it.
    See you soon...

  • Sposoby ujawniania swojej obecności:

    12 lutego robak usuwa pliki AUTOEXEC.BAT, CONFIG.SYS, IO.SYS, MSDOS.SYS i wyświetla komunikat:

    Win32.ILoveBritney
    It's Britney Birthday!!!!!
    You musn't work today...

Totilix.c

  • Klucz rejestru:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices Madonna32 = "nazwa pliku robaka"

    lub

    MadonnaNT = "nazwa pliku robaka"

  • Komunikaty:

    Madonna Hot Picture Software
    Hey, before you use this software
    Send me to your friends, please

    Madonna Hot Picture Software
    Hey, a error occured during the loading
    Please retry later or contact Madonna Official Site

    Madonna Hot Picture Software
    A error occured when i try to send email
    Please refer to your windows help for more informations

    Madonna Hot Picture Software
    This program need MAPI functions
    It can be find into your computer
    Please refer to Windows help to install it

  • Wygląd wysyłanych wiadomości e-mail:

    Temat: Madonna Hot Picture
    Treść:

    Hey, I know you like Madonna.I found this software on Madonna Official Site.
    It contains a lot of picture about Madonna.
    I hope you like to have it
    See you soon...

  • Sposoby ujawniania swojej obecności:

    W zależności od daty i czasu systemowego robak wyświetla komunikat i zamyka system Windows:

    Win32.IHateMadonna by ZeMacroKiller98
    Hey man, you see now that your PC is infected by me
    Just now, you see that i HATE Madonna

    lub nadpisuje plik AUTOEXEC.BAT komendą formatującą dysk C: i wyświetla komunikat:

    Win32.IHateMadonna
    Ha Ha Ha Ha!!!, Madonna Virus is in your computer...
    And time is occured to destroy your PC!!!!!!
    Thanks to ZeMacroKiller98!!!



 2001-08-06  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych