6 grudnia 2001

I-Worm.Udater - tworzy zainfekowane pliki

Updater jest robakiem napisanym w języku programowania Visual Basic Script. Ma postać pliku EXE o rozmiarze około 12 KB. Szkodnik rozprzestrzenia się poprzez e-mail przy użyciu programu Microsoft Outlook.

Tematy wysyłanych wiadomości składają się z czterech sekcji losowo wybieranych spośród następujących możliwości:

Sekcja 1: "Have you ", "You Should ", "Just ", "Why Not you ", "How to ", "Re: ", "Fwd: ";

Sekcja 2: "Check ", "Check out ", "Watch out ", "Open ", "Look at ";

Sekcja 3: "this ", "my ", "For this ", "The ";

Sekcja 4: "Picture", "Program", "Patch", "Nude pic", "Report", "Documment", "Quotation", "Transaction", "Bank Account", "WTC Tragedy", "Osama Vs Bush", "Account", "Private Pic".

Przykład: You Should (sekcja 1) Look at (sekcja 2) this (sekcja 3) Osama Vs Bush (sekcja 4).

Treść wiadomości wygląda następująco:

Hi:
This is the file you ask for, Please save it to disk and open this file, it's very important.

Nazwa pliku załączonego do wiadomości wybierana jest spośród następujących możliwości: "Setup.EXE", "install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Letter.Doc.exe", "Picture.jpg.exe".

Instalacja

Podczas instalacji robak kopiuje się z nazwą UPDATE.EXE do katalogu C:\WINDOWS i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Update = C:\WINDOWS\Update.exe

Następnie robak wyświetla następujący komunikat:

Cannot Open files : It does not appear to be a valid archive if you Downloaded this file , try downloading the file again.

Procedura dodatkowa

Robak tworzy w katalogu C:\WINDOWS\STARTM~1\PROGRAMS\STARTUP skrypt UPDATE.VBS, który jest automatycznie uruchamiany podczas każdego startu systemu Windows 9x/ME. Skrypt ten tworzy pliki towarzyszące zawierające kopię robaka dla wszystkich plików EXE, DOC i VBS zapisanych na twardym dysku. Nazwy tworzonych plików posiadają nazwy oryginałów z dodanym rozszerzeniem VBS. Przykładowo: MPLAYER.EXE.vbs, REPORT.DOC.vbs.

W kodzie skryptu zapisane są następujące teksty:

I-WORM.IMELDA.B
(C)2001, by Iwing
Virusindo - Indonesian Virus Network
http://indovirus.8m.com , IRC Dalnet #indovirus

Robak zmienia etykietę dysku C: na IMELDA i kopiuje się do katalogu C:\WINDOWS z nazwami: "Setup.EXE", "install.exe", "Readme.exe", "Files.exe", "Picture.exe" "Quotation.Doc.exe", "Letter.Doc.exe", "Picture.jpg.exe".