Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Mydoom.y

I-Worm.Mydoom.y Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci P2P i luki w usłudze LSASS systemów Windows. Robak wyposażony jest także w funkcję wysyłającą za pomocą komunikatora ICQ odsyłacze do stron zawierających zainfekowany plik. Szkodnik ma postać pliku PE EXE o rozmiarze 69 632 bajty (kompresja UPX).

Instalacja

Zachowanie robaka różni się w zależności od systemu operacyjnego, w którym zostanie uruchomiony.

Po uruchomieniu w systemach Windows 9x/ME robak:

  • tworzy w rejestrze systemowym klucz auto-run zapewniając sobie uruchamianie wraz z każdym startem systemu operacyjnego:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    RPCserv=%ścieżka dostępu do pliku robaka%

  • tworzy unikatowy identyfikator ertglddfgd w celu oznaczenia swojej obecności w systemie.

Po uruchomieniu w systemach Windows NT/ 2000/ XP robak:

  • tworzy w folderze \Windows\ własną kopię o nazwie services.exe;
  • rejestruje się jako usługa systemowa o nazwie NetBios Ext; dla usługi tworzone są następujące klucze rejestru:

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBios Ext]
    "ImagePath" = %\Windows%\services.exe serv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBios Ext]
    "ImagePath" = %\Windows%\services.exe serv

  • tworzy unikatowy identyfikator ertglddfgd w celu oznaczenia swojej obecności w systemie.

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ASP
  • CFG
  • CGI
  • DBX
  • DHT
  • EML
  • HTM
  • JSP
  • MBX
  • MHT
  • MSG
  • PHP
  • SHT
  • STM
  • TBB
  • TXT
  • UIN
  • WAB
  • XLS

Robak nie wysyła zainfekowanych wiadomości pod adresy zawierające następujące teksty:

  • .gov
  • .mil
  • @foo.
  • @iana
  • abuse
  • accoun
  • acketst
  • admin
  • antivi
  • anyone
  • arin.
  • avp.
  • berkeley
  • borlan
  • bsd
  • certific
  • contact
  • example
  • feste
  • fido
  • fsf.
  • gnu
  • gold-certs
  • google
  • gov.
  • help
  • iana
  • ibm.com
  • icq.com
  • icrosof
  • icrosoft
  • ietf
  • info
  • inpris
  • isc.o
  • isi.e
  • kasp
  • kernel
  • linux
  • listserv
  • math
  • messagelabs
  • mit.e
  • mozilla
  • mydomai
  • news
  • nobody
  • nodomai
  • noone
  • noreply
  • nothing
  • ntivi
  • panda
  • pgp
  • postmaster
  • privacy
  • rating
  • rfc-ed
  • ripe.
  • root
  • ruslis
  • samples
  • secur
  • sendmail
  • service
  • site
  • somebody
  • someone
  • sopho
  • spam
  • submit
  • support
  • syman
  • tanford.e
  • unix
  • upport
  • usenet
  • utgers.ed
  • webmaster
  • www

Charakterystyka zainfekowanych wiadomości e-mail

  • Domena adresu nadawcy (wybierana z poniższych możliwości):
    @1access.net
    @a1isp.net
    @accessus.net
    @address.com
    @ameralinx.net
    @aol.com
    @apci.net
    @arczip.com
    @aristotle.net
    @att.net
    @cableone.net
    @cais.com
    @canada.com
    @cayuse.net
    @ccp.com
    @ccpc.net
    @chello.com
    @compuserve.com
    @core.com
    @cox.net
    @cybernex.net
    @dailymail.co.uk
    @dialupnet.com
    @earthlink.net
    @eclipse.net
    @eisa.com
    @ev1.net
    @excite.com
    @fast.net
    @fcc.net
    @flex.com
    @gbronline.com
    @globalbiz.net
    @globetrotter.net
    @gmx.net
    @highstream.net
    @hiwaay.net
    @hotmail.com
    @ieway.com
    @inext.fr
    @infoave.net
    @iquest.net
    @isp.com
    @ispwest.com
    @istep.com
    @juno.com
    @loa.com
    @macconnect.com
    @madriver.com
    @mail.com
    @msn.com
    @nccw.net
    @netcenter.com
    @netrox.net
    @netzero.net
    @pacific.net.sg
    @palm.net
    @pathlink.com
    @peoplepc.com
    @pics.com
    @rcn.com
    @ricochet.com
    @surfree.com
    @tiscali.com
    @toad.net
    @t-online.com
    @t-online.de
    @ultimanet.com
    @verizon.net
    @wanadoo.com
    @worldcom.com
    @worldshare.net
    @wwc.com
    @yahoo.co.uk
    @yahoo.com
    @ziplink.net
    

  • Temat (brak lub wybierany z poniższych możliwości):
    :)
    :))
    2 new photos
    FW:
    FW: (no subject)
    FW: 2 new photos
    FW: Cool
    FW: hello sweety :>
    FW: hi
    FW: hi, it's me
    FW: it's me
    FW: jenna's photos :)
    FW: my photos
    FW: new photos
    FW: remember me?..
    FW: that's me :-D
    FW:cool
    FW:COOL!
    FW:fun pictures
    hello sweety :>
    hi
    hi, it's me
    it's me
    LOOK!
    my photos
    new photos
    Re:
    Re:cool
    Re:COOL!
    Re:fun pictures
    Re[2]:
    Re[2]:cool
    Re[2]:COOL!
    Re[2]:fun pictures
    remember me?..
    that's me :-D
    

  • Treść (wybierana z poniższych możliwości):
    -----Original Message-----
    From: Jeny K.
    Sent: Monday, September 13, 2004 8:57 PM
    To: Morpheus
    check my new photos
    :))
    miss you, jeny k
    
    -----Original Message-----
    From: Jena K.
    Sent: Monday, September 13, 2004 5:23 AM
    To: friends
    Check Out Archive.. So.. What Do You Think... Am I Hot? :)
    Waining For Your Answer
    Jena Key
    
    -----Original Message-----
    From: jenny k.
    Sent: Monday, September 13, 2004 10:23 AM
    To: My Tiger (e-mail)
    new fotos(archived) you asked
    jenny k
    
    -----Original Message-----
    From: jenna k. (e-mail)
    Sent: Monday, September 13, 2004 11:38 AM
    To: Cat
    my new fotos archived ))
    kiss, jenna k
    
    -----Original Message-----
    From: Jeny
    Sent: Monday, September 13, 2004 8:57 PM
    To: Neo
    see the photos in attached archive
    :))
    kiss you, jeny
    
    -----Original Message-----
    From: Jena
    Sent: Monday, September 13, 2004 5:23 AM
    To: friend
    Photos in archive.. So.. Am I Hot? :)
    Waining For Your Answer
    Jena
    
    -----Original Message-----
    From: Jenna Knukles
    Sent: Monday, September 13, 2004 9:05 AM
    To: Friends Group
    in self-extracting archive my photos
    Jenna :)
    
    -----Original Message-----
    From: jenna (e-mail)
    Sent: Monday, September 13, 2004 11:38 AM
    To: ma kittie
    my photos archived ))
    kiss, jenna
    fun flash game!
    fun flash!
    game!
    fun game!
    Print money at home!
    look at atach
    
    -----Original Message-----
    From: Jeny K.
    Sent: Monday, September 13, 2004 8:57 PM
    To: Morpheus check out the new photos
    :))
    miss you, jeny k
    
    -----Original Message-----
    From: Jena K.
    Sent: Monday, September 13, 2004 5:23 AM
    To: friends
    So.. What Do You Think... Am I Hot? :)
    Waining For Your Answer
    Jena Key
    
    -----Original Message-----
    From: Jenna Knukles
    Sent: Monday, September 13, 2004 9:05 AM 
    in archive my new fotos Jenna K :)
    
    -----Original Message-----
    From: jenny k.
    Sent: Monday, September 13, 2004 10:23 AM
    To: My Tiger (e-mail)
    new fotos you asked
    jenny k
    
    -----Original Message-----
    From: jenna k. (e-mail)
    Sent: Monday, September 13, 2004 11:38 AM
    To: Cat
    my new fotos zipped ))
    kiss, jenna k
    
    -----Original Message-----
    From: Jeny
    Sent: Monday, September 13, 2004 8:57 PM
    To: Neo
    see the photos
    :))
    kiss you, jeny
    
    -----Original Message-----
    From: Jena
    Sent: Monday, September 13, 2004 5:23 AM
    To: friend
    So.. Am I Hot? :)
    Waining For Your Answer
    Jena
    
    -----Original Message-----
    From: Jenna Knukles
    Sent: Monday, September 13, 2004 9:05 AM
    To: Friends Group
    in archive my photos
    Jenna :)
    
    -----Original Message-----
    From: jenny
    Sent: Monday, September 13, 2004 10:23 AM
    To: Mr.X (e-mail)
    photos you asked
    jenny
    
    -----Original Message-----
    From: jenna (e-mail)
    Sent: Monday, September 13, 2004 11:38 AM
    To: ma kittie
    my photos zipped ))
    kiss, jenna
    
    do you know this girl?
    do you know this people?
    do you know this ppl?
    Is it your photo?
    LOOK!
    my new photos
    with best wishes
    a lot of fun.
    Hello...Funny pic...hehehe
    I've never seen this before. Look at that !
    Look :)
    Hello!
    You've got a postcard. 
    To view this postcard, click on the attached file
    have you seen this before?
    Loool!! :-)
    fun
    fun pictures
    hi!
    look at new photos
    fun flash game!
    fun flash!
    game!
    fun game!
    Print money at home!
    look at atach
    

  • Podpis (wybierany z poniższych możliwości):
    +++ Attachment: No Virus found
    +++ sygnatura firmy produkującej oprogramowanie antywirusowe
    

  • Sygnatura firmy produkującej oprogramowanie antywirusowe (wybierana z poniższych możliwości):
    Bitdefender AntiVirus - www.bitdefender.com
    F-Secure AntiVirus - www.f-secure.com
    Kaspersky AntiVirus - www.kaspersky.com
    MC-Afee AntiVirus - www.mcafee.com
    MessageLabs AntiVirus - www.messagelabs.com
    Norman AntiVirus - www.norman.com
    Norton AntiVirus - www.symantec.de
    Panda AntiVirus - www.pandasoftware.com
    

  • Nazwa załącznika:

    • 2004042301.jpg .pif
    • arc.cpl
    • arc.exe
    • arhive.zip
    • black.gif .pif
    • DCP_0002.JPG .pif
    • document.jpg .pif
    • flowers.jpg .pif
    • foto.cpl
    • foto.exe
    • fotos.cpl
    • fotos.exe
    • fotos.zip
    • images.zip
    • julia038.jpg .pif
    • marie_dancing.jpg .pif
    • me_01.jpg .pif
    • my_foto.cpl
    • my_foto.exe
    • my_photo.jpg .pif
    • my_photos.cpl
    • my_photos.exe
    • my_photos.zip
    • myfoto.cpl
    • myfoto.exe
    • myphotos.zip
    • myphotos_arc.exe
    • new_photos.cpl
    • new_photos.exe
    • new_photos.zip
    • new_pic.zip
    • newphotos.cpl
    • newphotos.exe
    • nude_.jpg .pif
    • photo.jpg .pif
    • photo_se.cpl
    • photo_se.exe
    • photo08.jpg .pif
    • photoarchive.cpl
    • photoarchive.exe
    • photofile.cpl
    • photofile.exe
    • photos.exe.safe
    • photos.selfextracting.exe
    • photos.zip
    • photos_arc.cpl
    • photos_arc.exe
    • pic.jpg .pif
    • pic.zip
    • sunny.jpg .pif
    • with_flowers.jpg .pif

W pewnych okolicznościach załącznik może posiadać podwójne rozszerzenie.

Rozprzestrzenianie - sieci P2P

Robak umieszcza swoje kopie (o poniższych nazwach) w folderze współdzielonym programu KaZaA:

  • 1.exe
  • antibush.scr
  • childporno.pif
  • coolgame.zip .exe
  • crazzygirls.scr
  • dap53 crack.exe
  • dap53.exe
  • dap71.exe
  • dvdplayer.exe
  • eroticgirls2.0.exe
  • fantasy.scr
  • hello.pif
  • icq2004-final.exe
  • icqcrack.exe
  • icqlite.exe
  • icqpro2003b crack.exe
  • icqpro2003b.exe
  • iMeshV4 crack.exe
  • iMeshV4.exe
  • kmd.exe
  • LimeWireWin.exe
  • matrix.scr
  • Morpheus.exe
  • mult.exe
  • myfack.pif
  • mylove.pif
  • mymusic.pif
  • mynewphoto.zip .exe
  • newvirus.exe
  • nicegirlsshowv12.scr
  • opera7.7.exe
  • opera7.x crack.exe
  • pinguin5.exe
  • rulezzz.scr
  • trillian 2.0 crack.exe
  • trillian-v2.74h.exe
  • tropicallagoonss.scr
  • winamp5.exe
  • winamp6.exe
  • WinZip 9.0 crack.exe
  • WinZip 9.0.exe
  • wrar330 crack.exe
  • wrar330.exe
  • you the best.scr
  • zlsSetup_45_538_001.exe

W celu zamaskowania się w tych plikach robak zwiększa ich objętość dodając losowe dane.

Rozprzestrzenianie - komunikator ICQ

Robak wyposażony jest w funkcję pozwalającą na wysyłanie za pośrednictwem komunikatora ICQ adresów URL prowadzących do stron zawierających jego kopie. Komunikaty wysyłane przez robaka mogą wyglądać następująco:

best game http://65.110.51.XXX/icon/game.exe ;-);-);-)
fun game http://www.scionicmusic.com/XXX/game.exe :-):-):-)
funn http://64.40.98.XXX/icon/game.exe :-):-):-)
funy game http://www.scionicmusic.com/XXX/game.exe ;-);-);-)
http://64.40.98.XXX//icon/game.exe :-):-)
http://64.40.98.XXX/icon/game.exe funny :-);-)
http://65.110.51.XXX/icon/game.exe ;-);-);-);-)
http://65.110.51.XXX/icon/game.exe LOL!! ;-);-);-)
http://www.XXX.unibo.it/claroline142/photo.exe i cried :-)
http://www.XXX.unibo.it/claroline142/photo.exe lol :-):-)
i now play in game http://www.scionicmusic.com/XXX/game.exe :-):-)
my photos (archived)http://www.XXX.unibo.it/claroline142/photo.exe

Funkcje dodatkowe

W celu uzyskania nieograniczonego dostępu do Internetu robak rejestruje się w profilu FirewallPolicy.

Następnie szkodnik zamyka poniższe procesy:

  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • ACKWIN32.EXE
  • ADAWARE.EXE
  • ADVXDWIN.EXE
  • AGENTSVR.EXE
  • AGENTW.EXE
  • ALERTSVC.EXE
  • ALEVIR.EXE
  • ALOGSERV.EXE
  • AMON9X.EXE
  • ANTI-TROJAN.EXE
  • ANTIVIRUS.EXE
  • ANTS.EXE
  • APIMONITOR.EXE
  • APLICA32.EXE
  • APVXDWIN.EXE
  • ARR.EXE
  • ATCON.EXE
  • ATGUARD.EXE
  • ATRO55EN.EXE
  • ATUPDATER.EXE
  • ATWATCH.EXE
  • AU.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTO-PROTECT.NAV80TRY.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVCONSOL.EXE
  • AVE32.EXE
  • AVGCC32.EXE
  • AVGCTRL.EXE
  • AVGNT.EXE
  • AVGSERV.EXE
  • AVGSERV9.EXE
  • AVGUARD.EXE
  • AVGW.EXE
  • AVKPOP.EXE
  • AVKSERV.EXE
  • AVKSERVICE.EXE
  • AVKWCTl9.EXE
  • AVLTMAIN.EXE
  • AVNT.EXE
  • AVP.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPDOS32.EXE
  • AVPM.EXE
  • AVPTC32.EXE
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • AVSYNMGR.EXE
  • AVWIN95.EXE
  • AVWINNT.EXE
  • AVWUPD.EXE
  • AVWUPD32.EXE
  • AVWUPSRV.EXE
  • AVXMONITOR9X.EXE
  • AVXMONITORNT.EXE
  • AVXQUAR.EXE
  • b055262c.dll
  • backdoor.rbot.gen.exe
  • backdoor.rbot.gen_(17).exe
  • BACKWEB.EXE
  • BARGAINS.EXE
  • BD_PROFESSIONAL.EXE
  • BEAGLE.EXE
  • BELT.EXE
  • BIDEF.EXE
  • BIDSERVER.EXE
  • BIPCP.EXE
  • BIPCPEVALSETUP.EXE
  • BISP.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • BLSS.EXE
  • BOOTCONF.EXE
  • BOOTWARN.EXE
  • BORG2.EXE
  • BPC.EXE
  • BRASIL.EXE
  • BS120.EXE
  • BUNDLE.EXE
  • BVT.EXE
  • CCAPP.EXE
  • CCEVTMGR.EXE
  • CCPXYSVC.EXE
  • CDP.EXE
  • CFD.EXE
  • CFGWIZ.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • Claw95.EXE
  • CLAW95CF.EXE
  • CLEAN.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • CLEANPC.EXE
  • CLICK.EXE
  • CMD32.EXE
  • CMESYS.EXE
  • CMGRDIAN.EXE
  • CMON016.EXE
  • CONNECTIONMONITOR.EXE
  • CPD.EXE
  • CPF9X206.EXE
  • CPFNT206.EXE
  • CTRL.EXE
  • CV.EXE
  • CWNB181.EXE
  • CWNTDWMO.EXE
  • d3dupdate.exe
  • dailin.exe
  • DATEMANAGER.EXE
  • DCOMX.EXE
  • DEFALERT.EXE
  • DEFSCANGUI.EXE
  • DEFWATCH.EXE
  • DEPUTY.EXE
  • DLLCACHE.EXE
  • DLLREG.EXE
  • DOORS.EXE
  • DPF.EXE
  • DPFSETUP.EXE
  • DPPS2.EXE
  • DRWATSON.EXE
  • DRWEB32.EXE
  • DRWEBUPW.EXE
  • DSSAGENT.EXE
  • DVP95.EXE
  • DVP95_0.EXE
  • ECENGINE.EXE
  • EFPEADM.EXE
  • EMSW.EXE
  • ENT.EXE
  • ESAFE.EXE
  • ESCANH95.EXE
  • ESCANHNT.EXE
  • ESCANV95.EXE
  • ESPWATCH.EXE
  • ETHEREAL.EXE
  • ETRUSTCIPE.EXE
  • EVPN.EXE
  • EXANTIVIRUS-CNET.EXE
  • EXE.AVXW.EXE
  • EXPERT.EXE
  • EXPLORE.EXE
  • F-AGNT95.EXE
  • F-AGOBOT.EXE
  • FAMEH32.EXE
  • FAST.EXE
  • FCH32.EXE
  • FIH32.EXE
  • FINDVIRU.EXE
  • FIREWALL.EXE
  • FLOWPROTECTOR.EXE
  • FNRB32.EXE
  • FPROT.EXE
  • F-PROT.EXE
  • F-PROT95.EXE
  • FP-WIN.EXE
  • FP-WIN_TRIAL.EXE
  • FRW.EXE
  • FSAA.EXE
  • FSAV.EXE
  • FSAV32.EXE
  • FSAV530STBYB.EXE
  • FSAV530WTBYB.EXE
  • FSAV95.EXE
  • FSGK32.EXE
  • FSM32.EXE
  • FSMA32.EXE
  • FSMB32.EXE
  • F-STOPW.EXE
  • fvprotect.exe
  • GATOR.EXE
  • GBMENU.EXE
  • GBPOLL.EXE
  • GENERICS.EXE
  • GfxAcc.exe
  • GMT.EXE
  • GUARD.EXE
  • GUARDDOG.EXE
  • HACKTRACERSETUP.EXE
  • HBINST.EXE
  • HBSRV.EXE
  • HIJACKTHIS.EXE
  • HOTACTIO.EXE
  • HOTPATCH.EXE
  • HTLOG.EXE
  • HTPATCH.EXE
  • HWPE.EXE
  • hxdef.exe
  • HXDL.EXE
  • HXIUL.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IAMSTATS.EXE
  • IAOIN.EXE
  • IBMASN.EXE
  • IBMAVSP.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IDLE.EXE
  • IEDLL.EXE
  • IEDRIVER.EXE
  • IFACE.EXE
  • IFW2000.EXE
  • INETLNFO.EXE
  • INFUS.EXE
  • INFWIN.EXE
  • INIT.EXE
  • INTDEL.EXE
  • INTREN.EXE
  • IOMON98.EXE
  • IPARMOR.EXE
  • IRIS.EXE
  • ISASS.EXE
  • ISRV95.EXE
  • ISTSVC.EXE
  • JAMMER.EXE
  • jammer2nd.exe
  • JDBGMRG.EXE
  • JEDI.EXE
  • KAVLITE40ENG.EXE
  • KAVPERS40ENG.EXE
  • KAVPF.EXE
  • KEENVALUE.EXE
  • KERIO-PF-213-EN-WIN.EXE
  • KERIO-WRL-421-EN-WIN.EXE
  • KERIO-WRP-421-EN-WIN.EXE
  • KERNEL32.EXE
  • KILLPROCESSSETUP161.EXE
  • LAUNCHER.EXE
  • LDNETMON.EXE
  • LDPRO.EXE
  • LDPROMENU.EXE
  • LDSCAN.EXE
  • LNETINFO.EXE
  • LOADER.EXE
  • LOCALNET.EXE
  • LOCKDOWN.EXE
  • LOCKDOWN2000.EXE
  • LOOKOUT.EXE
  • LORDPE.EXE
  • LSETUP.EXE
  • LUALL.EXE
  • LUAU.EXE
  • LUCOMSERVER.EXE
  • LUINIT.EXE
  • LUSPT.EXE
  • MAPISVC32.EXE
  • MCAGENT.EXE
  • MCMNHDLR.EXE
  • MCSHIELD.EXE
  • MCTOOL.EXE
  • MCUPDATE.EXE
  • MCVSRTE.EXE
  • MCVSSHLD.EXE
  • MD.EXE
  • MFIN32.EXE
  • MFW2EN.EXE
  • MFWENG3.02D30.EXE
  • MGAVRTCL.EXE
  • MGAVRTE.EXE
  • MGHTML.EXE
  • MGUI.EXE
  • MINILOG.EXE
  • MMOD.EXE
  • MONITOR.EXE
  • MOOLIVE.EXE
  • MOSTAT.EXE
  • MPFAGENT.EXE
  • MPFSERVICE.EXE
  • MPFTRAY.EXE
  • MRFLUX.EXE
  • MSAPP.EXE
  • MSBB.EXE
  • MSBLAST.EXE
  • MSCACHE.EXE
  • MSCCN32.EXE
  • MSCMAN.EXE
  • MSCONFIG.EXE
  • MSDM.EXE
  • MSDOS.EXE
  • MSIEXEC16.EXE
  • MSINFO32.EXE
  • MSLAUGH.EXE
  • MSMGT.EXE
  • MSMSGRI32.EXE
  • MSSMMC32.EXE
  • msssss.exe
  • MSSYS.EXE
  • MSVXD.EXE
  • MU0311AD.EXE
  • MWATCH.EXE
  • N32SCANW.EXE
  • NAV.EXE
  • NAVAP.NAVAPSVC.EXE
  • NAVAPSVC.EXE
  • NAVAPW32.EXE
  • NAVDX.EXE
  • NAVENGNAVEX15.NAVLU32.EXE
  • NAVLU32.EXE
  • NAVNT.EXE
  • NAVSTUB.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NC2000.EXE
  • NCINST4.EXE
  • NDD32.EXE
  • NEOMONITOR.EXE
  • NEOWATCHLOG.EXE
  • NETARMOR.EXE
  • NETD32.EXE
  • NETINFO.EXE
  • NETMON.EXE
  • NETSCANPRO.EXE
  • NETSPYHUNTER-1.2.EXE
  • NETUTILS.EXE
  • NISSERV.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NOD32.EXE
  • NORMIST.EXE
  • NORTON_INTERNET_SECU_3.0_407.EXE
  • NOTSTART.EXE
  • NPF40_TW_98_NT_ME_2K.EXE
  • NPFMESSENGER.EXE
  • NPROTECT.EXE
  • NPSCHECK.EXE
  • NPSSVC.EXE
  • NSCHED32.EXE
  • NSSYS32.EXE
  • NSTASK32.EXE
  • NSUPDATE.EXE
  • NT.EXE
  • NTRTSCAN.EXE
  • NTXconfig.EXE
  • NUI.EXE
  • NUPGRADE.EXE
  • NVARCH16.EXE
  • NVC95.EXE
  • NWINST4.EXE
  • NWSERVICE.EXE
  • NWTOOL16.EXE
  • OLLYDBG.EXE
  • ONSRVR.EXE
  • OPTIMIZE.EXE
  • OSTRONET.EXE
  • OTFIX.EXE
  • OUTPOST.EXE
  • OUTPOSTINSTALL.EXE
  • OUTPOSTPROINSTALL.EXE
  • PADMIN.EXE
  • PANIXK.EXE
  • PATCH.EXE
  • PAVCL.EXE
  • PAVPROXY.EXE
  • PAVSCHED.EXE
  • PAVW.EXE
  • PCC2002S902.EXE
  • PCC2K_76_1436.EXE
  • PCCIOMON.EXE
  • PCCNTMON.EXE
  • PCCWIN97.EXE
  • PCCWIN98.EXE
  • PCDSETUP.EXE
  • PCFWALLICON.EXE
  • PCIP10117_0.EXE
  • PCSCAN.EXE
  • PDSETUP.EXE
  • PENIS.EXE
  • PERISCOPE.EXE
  • PERSFW.EXE
  • PERSWF.EXE
  • PF2.EXE
  • PFWADMIN.EXE
  • PGMONITR.EXE
  • PINGSCAN.EXE
  • PLATIN.EXE
  • POP3TRAP.EXE
  • POPROXY.EXE
  • POPSCAN.EXE
  • PORTDETECTIVE.EXE
  • PORTMONITOR.EXE
  • POWERSCAN.EXE
  • PPINUPDT.EXE
  • PPTBC.EXE
  • PPVSTOP.EXE
  • PRIZESURFER.EXE
  • PRMT.EXE
  • PRMVR.EXE
  • PROCDUMP.EXE
  • PROCESSMONITOR.EXE
  • PROCEXPLORERV1.0.EXE
  • PROGRAMAUDITOR.EXE
  • PROPORT.EXE
  • PROTECTX.EXE
  • PSPF.EXE
  • PURGE.EXE
  • PUSSY.EXE
  • PVIEW95.EXE
  • QCONSOLE.EXE
  • QSERVER.EXE
  • RAPAPP.EXE
  • rasmngr.exe
  • RAV7.EXE
  • RAV7WIN.EXE
  • RAV8WIN32ENG.EXE
  • RAVMOND.exe
  • RAY.EXE
  • RB.EXE
  • RB32.EXE
  • RCSYNC.EXE
  • REALMON.EXE
  • REGED.EXE
  • RESCUE.EXE
  • RESCUE32.EXE
  • RRGUARD.EXE
  • RSHELL.EXE
  • RTVSCAN.EXE
  • RTVSCN95.EXE
  • RULAUNCH.EXE
  • RUNDLL.EXE
  • RUNDLL16.EXE
  • RUXDLL32.EXE
  • SAFEWEB.EXE
  • SAHAGENT.EXE
  • SAVE.EXE
  • SAVENOW.EXE
  • SBSERV.EXE
  • SC.EXE
  • SCAM32.EXE
  • SCAN32.EXE
  • SCAN95.EXE
  • SCANPM.EXE
  • SCRSCAN.EXE
  • SCRSVR.EXE
  • SD.EXE
  • SERV95.EXE
  • SERVLCE.EXE
  • SERVLCES.EXE
  • SETUP_FLOWPROTECTOR_US.EXE
  • SETUPVAMEEVAL.EXE
  • SFC.EXE
  • SGSSFW32.EXE
  • SH.EXE
  • SHELLSPYINSTALL.EXE
  • SHN.EXE
  • SHOWBEHIND.EXE
  • SMC.EXE
  • SMS.EXE
  • SMSS32.EXE
  • SOAP.EXE
  • SOFI.EXE
  • SPERM.EXE
  • SPF.EXE
  • SPHINX.EXE
  • SPOOLCV.EXE
  • SPOOLSV32.EXE
  • SPYXX.EXE
  • SREXE.EXE
  • SRNG.EXE
  • SS3EDIT.EXE
  • SSG_4104.EXE
  • SSGRATE.EXE
  • ssgrate.exe
  • ST2.EXE
  • START.EXE
  • STCLOADER.EXE
  • SUPFTRL.EXE
  • SUPPORT.EXE
  • SUPPORTER5.EXE
  • SVC.EXE
  • SVCHOSTC.EXE
  • SWEEP95.EXE
  • SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
  • SYMPROXYSVC.EXE
  • SYMTRAY.EXE
  • SYSEDIT.EXE
  • SYSTEM.EXE
  • SYSTEM32.EXE
  • Systra.exe
  • SYSUPD.EXE
  • sysxp.exe
  • taskmanagr.exe
  • TASKMO.EXE
  • TASKMON.EXE
  • TAUMON.EXE
  • TBSCAN.EXE
  • TC.EXE
  • TCA.EXE
  • TCM.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • TDS-3.EXE
  • TEEKIDS.EXE
  • TFAK.EXE
  • TFAK5.EXE
  • TGBOB.EXE
  • TITANIN.EXE
  • TITANINXP.EXE
  • TRACERT.EXE
  • TRICKLER.EXE
  • TRJSCAN.EXE
  • TRJSETUP.EXE
  • TROJANTRAP3.EXE
  • TSADBOT.EXE
  • TVMD.EXE
  • TVTMD.EXE
  • UNDOBOOT.EXE
  • UPDAT.EXE
  • UPDATE.EXE
  • UPGRAD.EXE
  • UTPOST.EXE
  • VBCMSERV.EXE
  • VBCONS.EXE
  • VBUST.EXE
  • VBWIN9X.EXE
  • VBWINNTW.EXE
  • VCSETUP.EXE
  • VET32.EXE
  • VET95.EXE
  • VETTRAY.EXE
  • VFSETUP.EXE
  • VIR-HELP.EXE
  • VIRUSMDPERSONALFIREWALL.EXE
  • VisualGuard.exe
  • VNLAN300.EXE
  • VNPC3000.EXE
  • VPC32.EXE
  • VPC42.EXE
  • VPFW30S.EXE
  • VPTRAY.EXE
  • VSCAN40.EXE
  • VSCENU6.02D30.EXE
  • VSCHED.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSISETUP.EXE
  • VSMAIN.EXE
  • VSMON.EXE
  • VSSTAT.EXE
  • VSWIN9XE.EXE
  • VSWINNTSE.EXE
  • VSWINPERSE.EXE
  • W32DSM89.EXE
  • W9X.EXE
  • WATCHDOG.EXE
  • WEBDAV.EXE
  • WEBSCANX.EXE
  • WEBTRAP.EXE
  • WFINDV32.EXE
  • WGFE95.EXE
  • WHOSWATCHINGME.EXE
  • WIMMUN32.EXE
  • WIN32.EXE
  • WIN32US.EXE
  • WINACTIVE.EXE
  • WIN-BUGSFIX.EXE
  • WINDOW.EXE
  • WINDOWS.EXE
  • WININETD.EXE
  • WININIT.EXE
  • WININITX.EXE
  • WINLOGIN.EXE
  • WINMAIN.EXE
  • WINPPR32.EXE
  • WINRECON.EXE
  • WINSSK32.EXE
  • WINSTART.EXE
  • WINSTART001.EXE
  • WINTSK32.EXE
  • WINUPDATE.EXE
  • winxp.exe
  • WKUFIND.EXE
  • WNAD.EXE
  • WNT.EXE
  • wowpos32.exe
  • WRADMIN.EXE
  • WRCTRL.EXE
  • wuamga.exe
  • wuamgrd.exe
  • WUPDATER.EXE
  • WUPDT.EXE
  • WYVERNWORKSFIREWALL.EXE
  • XPF202EN.EXE
  • ZAPRO.EXE
  • ZAPSETUP3001.EXE
  • ZATUTOR.EXE
  • ZONALM2601.EXE
  • ZONEALARM.EXE

Ponadto robak zamyka wszystkie pliki wykonywalne związane z tymi procesami.

Szkodnik modyfikuje zawartość pliku \Windows\System32\drivers\etc\hosts, w wyniku czego użytkownik zainfekowanego komputera nie może łączyć się ze stronami WWW producentów oprogramowania antywirusowego.

Dodatkowo robak podejmuje próby pobierania z Internetu pliku zawierającego narzędzie zdalnej administracji Backdoor.Win32.Surila.k.

Po pobraniu tego pliku robak zapisuje go w losowym folderze z przypadkową nazwą i uruchamia. Ponadto w rejestrze systemowym tworzony jest dodatkowy klucz oznaczający obecność backdoora w systemie:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer]
dflag22=1

Robak przestaje funkcjonować 19 września 2004 o godzinie 1:18:31.



 2004-09-15  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych