3 grudnia 2001

I-Worm.Paukor - wieloskładnikowy robak

Jest to robak rozprzestrzeniający się poprzez Internet w postaci pliku załączonego do wiadomości e-mail. Ma postać aplikacji Windows PE EXE napisanej w środowisku programistycznym Delphi, a jego rozmiar to około 450 KB. Wirus składa się z kilku komponentów.

Do zainfekowanych wiadomości załączony jest plik FILES.EXE. Treść oraz temat wiadomości może się różnić w zależności od wersji robaka.

Pierwsza linia wiadomości: "Hi!" lub "Hello,"

Ostatnia linia wiadomości jest pusta lub wybierana spośród następujących możliwości: "Regards,", "Your friend,", "Best Regards", "Kind Regards" i zakończona nazwą użytkownika zainfekowanej maszyny.

Wiadomości generowane przez robaka mogą zatem wyglądać następująco:

Temat: Your loved one in indecent pictures :(

Treść:

Hi! lub Hello,

'm sorry I have to send you these compromising pictures with the one you love, or you loved. You will know where they were taken as soon as you see them.

I' compressed it as a self extracting archive because I din't knew if you have WinZip. When you run it, it should display the extract dialog. I'm really sorry I had to be the one who told you about this.

Regards lub Your friend lub Best Regards lub Kind Regards

Temat: Surprise for you!

Treść:

Hi! lub Hello, I have a surprise for you. It's a electronic card made by myself :). It contains some graphics and sound and I had to compress it as self extracting archive. :))

I hope you like it, please see the attached file.

Regards lub Your friend lub Best Regards lub Kind Regards

Temat: Pictures from the last party

Treść:

Hi! lub Hello,

Here are the pictures from the last party. Some of them are so funny! I compressed them as self extracting archive as they were too large, over 2.1 Mb! :))

I made the archive self extracting, because I din't knew if you have WinZip. When you run it, it should display the extract dialog.

Please let me know what you think. :)

Regards lub Your friend lub Best Regards lub Kind Regards

Temat: Brak

Treść:

Hi! lub Hello,

Here are some files related to what we have talk about. I made the archive self extracting, because I din't knew if you have WinZip. When you run it, it should display the extract dialog. Please let me know what you think. :)

Regards lub Your friend lub Best Regards lub Kind Regards

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik kliknie na załączonym pliku. Wtedy wirus instaluje się w systemie, tworzy na dysku swoje dodatkowe komponenty i uruchamia procedurę rozprzestrzeniającą.

Główny komponent

Gdy uruchomiony zostanie plik FILES.EXE (główny moduł wirusa) szkodnik instaluje w systemie swoje dodatkowe komponenty. Są one tworzone w katalogu Windows i posiadają następujące nazwy:

SYSTRAY.EXE - rozmiar około 66 KB
CWAB.EXE - rozmiar około 341 KB
MSP.DLL - rozmiar około 20 KB

Wszystkie komponenty robaka są plikami PE EXE napisanymi w środowisku programistycznym Delphi. Pliki EXE (SYSTRAY.EXE oraz CWAB.EXE) są uruchamiane przez główny komponent robaka, który następnie kopiuje się do katalogu Windows, wyświetla "przynętę" i kończy swoje działanie. Wyświetlany przez robaka komunikat zatytułowany jest Error i posiada następującą treść:

This WinZip archive seems to be incomplete. Please download again the file, or contact the vendor for an other copy.

Komponent CWAB

Komponent ten uruchamia procedurę rozprzestrzeniającą, która wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresowej systemu Windows (plik WAB). Szkodnik wysyła wiadomości łącząc się z serwerem SMTP.

Komponent CWAB aktywowany jest przez główny moduł wirusa (plik FILES.EXE). Jeżeli zostanie uruchomiony jako samodzielna aplikacja na ekranie pojawi się komunikat zatytułowany Error i posiadający poniższą treść:

This program is used internaly by Windows.
It is not intended to by launched directly.

Komponent MSP

Jest to moduł tworzący klucz auto-run rejestru systemowego:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

oraz uruchamiający bibliotekę MSP.DLL która zapisuje do pliku MSP.DAT teksty wpisywane z klawiatury.

W kodzie tego komponentu zapisana jest sygnatura autora:

PayK Worm
Copyright (c) 2001 by TheShadow
Disclamer: This program has been made for educational and research porposes only.