25 października 2001

I-Worm.Anset - rozsyła się w postaci załączników

Jest to robak rozprzestrzeniający się poprzez Internet w postaci pliku załączonego do wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 462 KB (lub około 186 KB w postaci spakowanej) i został stworzony przy użyciu środowiska programistycznego Delphi.

Wysyłana przez robaka wiadomość wygląda następująco:

Temat: ANTS Version 3.0

Treść:

Hi,
Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen.
Attached you will find the brand new Version 3.0 of ANTS, the unique freeware trojan scanner. To install ANTS simply run the attached setup file.

Adieu, Andreas
webmaster@avnetwork.de
http://www.ants-online.de

Nazwa załącznika: ants3set.exe

Robak aktywuje się z zainfekowanej wiadomości e-mail tylko gdy użytkownik kliknie na załączniku. Następnie szkodnik instaluje się w systemie i uruchamia swoje procedury rozprzestrzeniające.

Podczas instalacji robak kopiuje się z losową nazwą do katalogu Windows, przykładowo: zfcy.exe, BM.exe, GG.exe, hlutl.exe

i umieszcza swój plik w kluczu auto-run rejestru systemowego:

HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
""="C:\Windows\< nazwa pliku >.exe"

W celu wysyłania zainfekowanych wiadomości robak pobiera kontakty z książki adresowej programu MS Outlook i szuka na dysku C: plików posiadających następujące rozszerzenia:

*.php, *.htm, *.shtm, *.cgi, *.pl

i pobiera z nich dodatkowe adresy e-mail. Następnie szkodnik kopiuje swój plik EXE do zbioru o nazwie C:\ANTS3SET.EXE, załącza go do wiadomości i wysyła przy użyciu bezpośredniego połączenia z serwerem SMTP.