15 listopada 2001

I-Worm.Fintas - formatuje dyski i usuwa pliki

Jest to robak internetowy rozprzestrzeniający się poprzez Internet w postaci pliku PE EXE załączonego do wiadomości e-mail. Robak został napisany przy użyciu języka programowania Visual Basic, a jego rozmiar to około 36 KB.

Robak uaktywnia się z zainfekowanej wiadomości e-mail tylko gdy użytkownik kliknie na załączonym pliku.

Instalacja

Podczas instalowania robak kopiuje się do katalogu systemowego Windows i do katalogu głównego dysku C: z nazwą `.EXE lub FamilyMovie.exe oraz do katalogu TEMP systemu Windows z nazwą FF8.EXE lub FunnyFlash.EXE.

Plik C:\`.EXE jest umieszczany w kluczu auto-run rejestru systemowego:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices 723 = c:\`.exe

oraz w sekcji [boot] pliku SYSTEM.INI.

Rozprzestrzenianie

Do wysyłania zainfekowanych wiadomości robak wykorzystuje program MS Outlook oraz jego książkę adresową. Wiadomości te różnią się w zależności od wersji robaka i mogą wyglądać następująco:

Temat: Microsoft Shockwave Flash Movie
Treść: Check "Family.exe" then you could see Microsoft family's Shockwave Flash Movie
Załączony plik: FamilyMovie.exe

Temat: CoolGame From %Nazwa użytkownika%
Treść: the cool game about Final Fantasy VIII :)
Załączony plik: FF8.EXE

Temat: FunnyFlashMovie From %Nazwa użytkownika%
Treść: the flash movie,check it !:)
Załączony plik: FunnyFlash.EXE

gdzie %Nazwa użytkownika% jest nazwą zainfekowanej maszyny.

Procedury dodatkowe - "Fintas.a"

Pierwsza ze znanych wersji robaka po zakończeniu rozprzestrzeniania usuwa z katalogu Windows pliki: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMAND\EBD\io.sys oraz pliki: C:\IO.SYS, C:\NETWORK.LOG. Następnie szkodnik umieszcza swoją kopię na dysku sieciowym J: (jeżeli taki dysk jest dostępny).

Ponadto robak tworzy na dysku dwa pliki VBS: "c:\passwd.vbs" oraz "c:\leo.vbs", po czym wyświetla poniższą wiadomość:

LEOII
Game Over...........
[ OK ]

Skrypt LEO.VBS szuka plików posiadających poniższe rozszerzenia:

.html .htm .asp .php .dll .com .txt .doc .xls .exe

i nadpisuje je tekstem "Hi! I am LEO".

Skrypt PASSWD.VBS szuka plików .PWL (pliki zawierające hasła) i wysyła je pod adres leotam888@china.com z tematem "mypasswd".

Procedury dodatkowe - pozostałe wersje

23 dnia każdego miesiąca szkodnik uruchamia procedurę działającą tylko w systemach Windows 9x/Me. Procedura ta dodaje do pliku C:\MSDOS.SYS instrukcję, która wyłącza opcję śledzenia uruchamiania systemu i nadpisuje plik C:\AUTOEXEC.BAT komendą, która formatuje dyski C: oraz Z: podczas kolejnego uruchamiania komputera. Po zakończeniu formatowania robak wyświetla poniższy komunikat:

723M
<--Today is 23,yes? :)-->
Made in china