Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Hydra - poszukuje pozaziemskiej inteligencji

Jest to robak internetowy rozprzestrzeniający się jako plik EXE załączony do wiadomości e-mail. Szkodnik ma postać uruchamialnego pliku Win32 napisanego w języku programowania VisualBasic, a jego rozmiar to 26 kB.

Po uruchomieniu robak kopiuje się do katalogu Windows z nazwą MSSERV.EXE i dodaje klucze auto-run do rejestru systemowego:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices

Wszystkie klucze uruchamiają kopię robaka wraz z każdym startem systemu Windows.

Rozprzestrzenianie

Robak rezyduje w pamięci Windows jako ukryta aplikacja, łączy się z programem MS Outlook i rejestruje się jako program obsługujący zdarzenia "NewMail" oraz "ItemSend".

Gdy wystąpi zdarzenie "NewMail" (odebrano nową pocztę) robak sprawdza czy nie jest to wiadomość wysłana przez niego z innego zainfekowanego komputera i usuwa ją.

Gdy wystąpi zdarzenie "ItemSend" (wysłano wiadomość) robak sprawdza załączniki, pobiera pierwszy z nich i umieszcza w jego miejscu swoją kopię posiadającą losowo wygenerowaną nazwę oraz rozszerzenie EXE.

W piątki 13. od godziny 13:00 do 14:00 robak dodaje do treści wiadomości tekst:

[I-Worm.Hydra] ...by gl_st0rm of [mions]

Ukrywanie się

Robak wykonuje kilka czynności mających na celu ukrycie się i uniknięcie usunięcia. Szkodnik usuwa plik MSCONFIG.EXE zapisany w systemowym katalogu Windows po czym wyszukuje i zamyka następujące procesy:

"AVP Monitor", "AntiVir", "Vshwin", "F-STOPW", "F-Secure", "vettray", "InoculateIT", "Norman Virus Control", "navpw32", "Norton AntiVirus", "Iomon98", "AVG", "NOD32", "Dr.Web", "Amon", "Trend PC-cillin", "File Monitor", "Registry Monitor", "Registry Editor", "Task Manager".

W rezultacie wyłączone zostają różne programy antywirusowe oraz edytory rejestru systemowego.

Dodatkowo szkodnik niszczy antywirusowe bazy danych programu Kaspersky Anti-Virus (znanego dawniej jako AVP).

Członkowstwo w rozproszonej sieci SETI

Robak instaluje i uruchamia na zainfekowanej maszynie oprogramowanie SETI (Search for Extraterrestrial Intelligence - Poszukiwanie pozaziemskiej inteligencji).

Robak pobiera oprogramowanie SETI z poniższych serwerów i umieszcza je w katalogu WINDOWS pod nazwą MSSETI.EXE:

ftp://ftp.cdrom.com/pub/setiathome/
setiathome-3.03.i386-winnt-cmdline.exe

ftp://ftp.let.uu.nl/pub/software/winnt/
setiathome-3.03.i386-winnt-cmdline.exe

ftp://ftp.cdrom.com/.2/setiathome/
setiathome-3.03.i386-winnt-cmdline.exe

ftp://alien.ssl.berkeley.edu/pub/
setiathome-3.03.i386-winnt-cmdline.exe

ftp://setidata.ssl.berkeley.edu/pub/
setiathome-3.03.i386-winnt-cmdline.exe

Ponadto robak tworzy w katalogu Windows następujące pliki:

USER_INFO.SAH, VERSION.SAH, MSSETI.PIF, RUN_MSSETI.VBS, MSSETI.BAT i umiescza plik RUN_MSSETI.VBS w poniższych kluczach rejestru systemowego:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run msseti = WScript.exe %WinDir%\run_msseti.vbs"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices msseti = WScript.exe
%WinDir%\run_msseti.vbs"
.



 2001-08-13  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych