Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Scorpion - usuwa pliki INI oraz SYS

Jest to niebezpieczny robak rozprzestrzeniający się poprzez Internet w postaci zainfekowanych wiadomości e-mail. Szkodnik ma postać aplikacji Windows o rozmiarze około 370 KB, napisanej przy użyciu środowiska programistycznego Delphi.

Po uruchomieniu się robak rozpoczyna instalację w systemie, rejestruje się jako ukryta aplikacja, wysyła zainfekowane wiadomości (posiadające w załączniku jego kopię) i w zależności od daty systemowej uruchamia jedną ze swoich procedur dodatkowych.

Instalacja w systemie

Robak kopiuje się do katalogu systemowego Windows z nazwą wybieraną losowo spośród poniższych możliwości:

Play.exe, Bigs as.exe, Zorro.exe, Honey.exe, Jefes.exe, Corte de pelo.exe, Tangas.exe, Canibal.exe, Picadita.exe, Josefina.exe

i umieszcza tę kopię w kluczu auto-run rejestru systemowego:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
Scorpion = %filename%

Wysyłanie zainfekowanych wiadomości

Robak wysyła się z zainfekowanych komputerów w postaci pliku załączonego do wiadomości e-mail. Temat i treść wiadomości wybierane są losowo spośród poniższych możliwości:

Temat:

Sorpresa !!!
Este si que es un buen presente
Diviertanse
Todo debe estar limpio
Echale un ojo a esto
Buena PECHOnalidad
Con todo mi aprecio
El aguijon de Scorpion
Traseros
Mujeres

Treść wiadomości:

Abrelo sin miedo que, no es ningun Virus
No tiene ningun Virus
Abrelo no hay PELIGRO, esta limpio de Virus
Mira que bueno esta esto
Espero que esto te guste
Scorpion hace de las suyas
Esto si esta interesante abrelo que no hay peligro
Dime si te gusto
No tiene Virus, asi que abranlo y disfrutenlo
Observa el gran poder de las mujeres en su parte trasera

W celu wysłania zainfekowanych wiadomości robak łączy się z serwerem SMTP. Nazwę tego serwera wirus pobiera z domyślnych ustawień systemowych. Adresy ofiar pozyskiwane są z pliku WAB (książka adresowa systemu Windows). Ponadto robak za każdym razem wysyła wiadomości pod poniższe adresy:

jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar

Robak wysyła wiadomości zaraz po swoim pierwszym uruchomieniu, a następnie po upływie czasu zależnego od jego wewnętrznych liczników.

Procedury dodatkowe

Robak usuwa wszystkie pliki INF oraz SYS zapisane na dysku, na którym zainstalowany jest system Windows, w wyniku czego system operacyjny jest w większości przypadków niszczony.

Począwszy od 15 września robak manifestuje swoją obecność wyświetlając efekt graficzny.

Dodatkowo szkodnik modyfikuje poniższe klucze rejestru systemowego:

HKEY_LOCAL_MACHINE\Software\Scorpion\Help
Mail = Negro
Fack = Rojo

Pierwszy klucz informuje, że zainfekowane wiadomości zostały już wysłane natomiast drugi, że pliki INI oraz SYS zostały usunięte.

W zależności od swoich wewnętrznych liczników robak zamyka aktywne aplikacje Windows, wysuwa/wsuwa tackę napędu CD-ROM, miga diodami Num/Caps/Scroll-lock znajdującymi się na klawiaturze oraz wyświetla 500 wiadomości zawierających tekst:

Scorpion ya está aquí !!!!



 2001-09-11  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych