26 października 2001

I-Worm.Kiray - ukrywa ikony i próbuje usuwać pliki

Jest to robak rozprzestrzeniający się poprzez Internet przy użyciu programu MS Outlook. Szkodnik ma postać wiadomości e-mail, do której załączony jest plik Kiray.EXE.

Gdy załącznik zostanie uruchomiony robak modyfikuje następujące klucze rejestru systemowego:

HKCR\exefile\shell\open\command\
""="c:\windows\temp\Kiray.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoDesktop=1
NoDrives=1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network\
NoNetSetup=1

W rezultacie robak aktywuje się podczas uruchamiania dowolnego pliku EXE, natomiast po zrestartowaniu systemu wszystkie ikony pulpitu oraz grupy Mój komputer są ukrywane.

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje MAPI. Szkodnik wysyła korespondencję do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook. Wiadomości te wyglądają następująco:

Temat: Please make peace not war
Treść: The Lamers and Idiots Game
Załącznik: Kiray.exeM

Robak próbuje usuwać wszystkie pliki zapisane w poniższym katalogu:

  • c:\windows\*.*
  • c:\windows\system\*.*
  • c:\Program Files\Microsoft Office\*.*
  • c:\Program Files\Internet Explorer\*.*

    Robak działa poprawnie tylko jeżeli załącznik zostanie zapisany przez klienta pocztowego w katalogu C:\WINDOWS\TEMP. W przeciwnym wypadku robak nie może się rozprzestrzeniać, a wysyłane przez niego wiadomości nie posiadają załącznika.