10 grudnia 2001

I-Worm.Sysnom - przeprowadza atak DoS

Jest to robak internetowy rozprzestrzeniający się w postaci pliku załączonego do wiadomości e-mail. Szkodnik ma postać pliku Windows PE EXE o rozmiarze około 21 KB i został napisany w języku programowania Visual Basic.

Zainfekowane wiadomości wysyłane przez robaka wyglądają następująco:

Temat: Good News
Załączony plik: SoftwareKey.exe

Treść wiadomości wybierana jest spośród następujących możliwości:

Wanna remove the I-worms CodeRed, BadTrans, Goner, Updater, etc?
Good news for you because we're giving you a software which removes the latest internet worms in your pc.
Included is your free software from AVP.

Hi! You are a winner of a trip to Iceland.
Included in this message is a software which can help you claim your prize.
See you there!!! Iceland.com

Hi! You have just won yourself a plane ticket to Bali, Indonesia!
Click the attachment to see how to claim your price.
This message is courtesy of YouCanSeeTheWorld.com.

Gdy użytkownik uruchomi zainfekowany załącznik (wirus nie aktywuje się automatycznie) robak instaluje się w systemie - kopiuje się do następujących katalogów:

C:\WINDOWS\SoftwareKey.exe
C:\WINDOWS\SYSNOM.EXE
C:\WINDOWS\SCANREGW.EXE
(robak nadpisuje oryginalny plik SCANREGW własną kopią)

i tworzy klucz auto-run w rejestrze systemowym:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run System Monitor = c:\WINDOWS\SYSNOM.EXE

Następnie szkodnik wyświetla wiadomość:

Is your computer infected with I-Worms Goner and Updater?
Click to obtain the latest cleaner from AVP.
[ AVP ]

i uruchamia procedurę rozprzestrzeniającą. Wirus wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook.

Następnie robak otwiera witrynę "http://www.avp.ch" przy użyciu programu IEXPLORER.EXE i uruchamia atak DoS, którego celem jest strona "indovirus.8m.com".

Wirus nie ujawnia swojej obecności w żaden inny sposób.