14 listopada 2001

I-Worm.Finaldo - infekuje pliki w półgodzinnych odstępach

Jest to rezydentny i polimorficzny robak rozprzestrzeniający się poprzez Internet w postaci plików załączonych do zainfekowanych wiadomości e-mail. Szkodnik zaraża pliki uruchamialne zapisane na lokalnych i sieciowych dyskach. Wirus posiada błędy i zainfekowane programy często zawieszają się podczas uruchamiania.

Zainfekowany plik EXE

Kod wirusa przechowywany jest w zainfekowanych plikach EXE w postaci zaszyfrowanej. W momencie uruchomienia zarażonego pliku aktywowana jest procedura polimorficzna, która deszyfruje i uruchamia część kodu wirusa. Kod ten rozpakowuje i ładuje główny komponent wirusa.

Główny komponent robaka

Główny komponent robaka jest biblioteką PE systemu Windows (plik DLL), a jego rozmiar to około 31 KB (kod ten jest skompresowany przy użyciu narzędzia UPX PE EXE).

Po uruchomieniu komponent tworzy dwa dodatkowe pliki (FINALDOOM.EML oraz FINALDOOM.EXE) w katalogu TEMP systemu Windows. Pierwszy plik to wiadomość e-mail rozsyłana przez robaka, natomiast plik drugi wykorzystywany jest przez wirusa do tworzenia bloku MIME w jego własnym pliku EML.

Następnie wirus instaluje się w pamięci systemu Windows, przechwytuje cztery funkcje API odpowiedzialne za wyszukiwanie plików (FindNextFileA, FindNextFileW) i otwieranie plików (CreateFileA, CreateFileW) oraz infekuje pliki EXE, SCR, OCX, HTM, HTML, ASP.

Przy użyciu funkcji systemu Windows robak infekuje pliki EXE zapisane na dostępnych dyskach sieciowych.

Infekowanie

Podczas infekowania plików EXE wirus sprawdza ich nazwy oraz zawartość i nie atakuje pliku NTOSKRNL.EXE oraz samorozpakowujących się archiwów utworzonych przy użyciu narzędzi WinZip i RAR.

Podczas infekowania plików HTML robak dodaje do nich komendę otwierającą plik EML i kopiuje własny plik FINALDOOM.EML do odpowiedniego katalogu.

Poczta elektroniczna

Przed każdym uruchomieniem procedury rozprzestrzeniającej robak pozostaje w uśpieniu przez około 30 minut. Wirus łączy się z klientem poczty elektronicznej przy użyciu MAPI, odczytuje odebrane wiadomości i odpowiada na nie.

Backdoor

Wirus zawiera również komponent backdoor, który umożliwia zdalnemu użytkownikowi wykonywanie na zainfekowanej maszynie czterech operacji:

  • zapisywanie i uruchamianie zainfekowanego pliku;
  • zamykanie systemu Windows;
  • wyłączanie procedury backdoor;
  • wyświetlanie poniższego komunikatu:

    Finaldoom is coming ! Don't worry... It's no harm to your system !

W kodzie szkodnika zapisana jest sygnatura autora:

Coded_by_CJH
It's only a demo version.
Made in china