Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Redesi - formatuje dysk C:

Jest to robak internetowy rozprzestrzeniający się poprzez wiadomości e-mail przy użyciu programu Microsoft Outlook. Dopisuje do pliku autoexe.bat komendę formatującą dysk C:

Po uruchomieniu robak kopiuje się do poniższych plików:

  • c:\Si.exe
  • c:\ReDe.exe
  • c:\Disk.exe
  • c:\Common.exe
  • c:\UserConf.exe

Następnie wirus wysyła swoje kopie do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook. Jeżeli na zaatakowanej maszynie nie zainstalowano Outlook'a wirus nie będzie mógł się rozprzestrzeniać.

Temat wiadomości wysyłanych przez robaka jest wybierany losowo z predefiniowanej listy. Załącznik może mieć jedną z następujących nazw: Si.exe, Common.exe, UserConf.exe, ReDe.exe, Disk.exe.

Resedi.a

Po pierwszym uruchomieniu robak wyświetla wiadomość:

Tytuł: Microsoft Windows Update
Treść: Your Windows Update has been successful.

Jeżeli bieżąca data systemowa to 11 listopada 2001 i posiada ona format mm/dd/rr lub dd/mm/rr, robak dopisuje do pliku autoexec.bat komendę, która sformatuje dysk C: podczas kolejnego uruchamiania systemu operacyjnego.

Ponadto szkodnik dopisuje do rejestru poniższy klucz, co zapewnia mu uruchomienie wraz z każdym startem systemu Windows

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Rede

Wirus wysyła swoje kopie w wiadomościach e-mail, których zawartość może być następująca:

  • Temat wybierany jest spośród poniższych możliwości:

    FW: Microsoft security update.
    FW: Security Update by Microsoft.
    FW: IT departments on state of HIGH ALERT.
    FW: Important news from Microsoft.
    FW: Stop terrorists computer viruses reign.
    FW: Terrorists release computer virus.
    FW: Emergency response from Microsoft Corp.
    FW: Terrorist Emergency. Latest virus can wipe disk in minutes.
    FW: Microsoft Update. Final Release Candidate.
    FW: New computer virus.

  • Treść wiadmości:

    Just recieved this in my email
    I have contacted Microsoft and they say it's real !

    -----Original Message-----
    From: Microsoft Support Desk [mailto:Support@microsoft.com]
    Sent: 17 October 2001 15:21
    Subject: Security Update<

    Due to the recent spate of email spread computer viruses Microsoft Corp has released a security patch. Please apply the attached file to your Windows computer to stop any futher spread or these malicious programs.
    Regards Microsoft Support

W kodzie robaka zapisane są następujące teksty:

Mind the Threefold Law ye should, three times bad and three times good.
When misfortune is enow, wear the blue star on thy brow.
True in love ye must ever be, lest thy love be false to thee.
These words the Wiccan Rede fulfill: An ye harm none, do what ye will.
Rede(c)Si 2001 ... heh, want my phone number too ?!?
Sick of all thes 3rd world gits spreading worms. Time for a bit of Welsh stuff :)

Resedi.b

Temat wiadomości wybierany jest spośród poniższych możliwości:

Kev Gives great orgasms to ladeez!! -- Kev
hell is coming for u, u will be sucked into a bottomless pit!!! -- Gaz
Scientists have found traces of the HIV virus in cows milk...here is the proof -- Will
Yay. I caught a fish -- Six
I don't want to write anything but Si is bullying me. -- Jim
I want to live in a wooden house -- Arwel
Michelle still owes me Ł10 ... shit ! -- Si
Why have I only got cheese and onion crisps? I hate them !! -- Si
A new type of Lager / Weed variant...... sorted !
My dad not caring about my exam results -- by Michelle

Treść wiadomości wygląda następująco:

heh. I tell ya this is nuts ! You gotta check it out !

Podczas wysyłania zainfekowanych wiadomości e-mail szkodnik wyświetla poniższy komunikat:

Tytuł: %file path%\%filename% is not a valid Win32 application.
Treść: %file path%\%filename% is not a valid Win32 application.



 2001-10-18  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych