20 grudnia 2001

I-Worm.Toil - wyświetla teksty i rozrzuca zawartość ekranu

Jest to robak rozprzestrzeniający się poprzez Internet w postaci pliku załączonego do wiadomości e-mail. Wirus atakuje aplikacje Win32 zainstalowane na lokalnych i sieciowych dyskach.

Po uruchomieniu zainfekowanego pliku kontrola przekazywana jest do procedury polimorficznej, która deszyfruje i zapisuje plik INVICTUS.DLL w systemowym katalogu Windows oraz kod robaka w katalogu tymczasowym (nazwa pliku jest losowa). Plik zawierający właściwy kod wirusa jest aplikacją systemu Windows (plik PE EXE) o rozmiarze około 8 KB napisaną w assemblerze.

Instalacja

Po uruchomieniu robak instaluje się w systemie i aktywuje swoje procedury wysyłające wiadomości e-mail, infekujące pliki Win32 oraz procedurę dodatkową. Podczas instalacji szkodnik umieszcza w katalogu Windows dwie własne kopie posiadające losowe nazwy i dodaje do pliku SYSTEM.INI następujące wartości:

[boot]
shell=Explorer.exe %nazwa_robaka%

dzięki czemu uruchamia się wraz z każdym startem systemu Windows.

Rozprzestrzenianie

W celu uzyskania adresów "ofiar" robak wykorzystuje wyszukiwarkę "ICQ White pages". Szkodnik wysyła zapytanie i pobiera adresy z otrzymanych odpowiedzi. W zapytaniu wykorzystywane są słowa z poniższej listy:

MPB, sex, history, mp3, friends, airplane, ferrari, orgasm friendship, fuck, love, sports, party, pussy, USA, audio

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z serwerem SMTP. Treść wysyłanych przez robaka wiadomości jest pusta, natomiast ich temat wybierany spośród poniższych możliwości:

Bin Laden toillete paper !!
Sadam hussein & BinLaden IN LOVE
Bush fucks Bin Laden hardly <:P
Is Osama Bin Laden BAD-LOVED ?
USA against Geneva Convention ?
Anthrax mail is true(not a joke)
Biological weapons: Preventing !
Fucking a mullah in Islamabad
O papel higienico do Bin Laden !
Sadam e BinLaden apaixonados
Bush fudendo Bin Laden <:P
Será que o Osama é mal-amado ?
EUA agride convençao de genova ?
Antraz pelo correio (verdade)
Armas biologicas: Previna-se !
Fudendo um mulá em Islamabad
Bin Landen Toalettpapper
Sadam hussein & BinLaden är förälsk
ade Bush knullar Bin Laden hĺrt <:P
är Osama Bin Laden inte älskad ?
Är USA emot Geneve överenskom melsen ?
Anthrax brevet existerar(det är inget skämt)
Biologiska vapen: Förhindra !
Knulla en muslim i Islamabad
papier toillette Bin Laden
Sadam & BinLaden EN AMOUR
Bush nique ŕ donf Bin Laden <:P
Osama Bin Laden Mal Aimé ?
Usa contre la convention de Geneve?
Le courrier Anthrax existe vraiment
Arme Biologique: Préventions!
Baiser un mullah ŕ Islamabad
Xarti toualetas Bin Landen !!
Hussein & Bin Laden, ERASTES
O Bush gamaei agria ton Bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H epistoles me Antraka,einai gegonos
Biologika wpla: Prostasia !
Gamontas ena Moula sto Islamabad
Attachment name: BINLADEN_BRASIL.EXE

Robak wykorzystuje dziurę w zabezpieczeniach programu Microsoft Internet Explorer zwaną IFRAME, dzięki czemu może się uaktywnić podczas przeglądania zainfekowanych wiadomości (nie jest konieczne uruchomienie załącznika).

Infekowanie plików zapisanych na lokalnych dyskach

Robak infekuje pliki HH.EXE, NETSTAT.EXE oraz CALC.EXE zapisane w katalogu Windows. Ponadto wirus atakuje pliki programów zapisanych w rejestrze aplikacji systemu Windows (applog). Następnie szkodnik szuka aktywnej kopii programu EXPLORER.EXE, zamyka ją i infekuje plik.

Infekowanie plików zapisanych na dyskach sieciowych

Robak próbuje połączyć się ze wszystkimi dostępnymi zasobami sieciowymi, zapisuje swoją kopię w następujących katalogach:

\WIN
\WIN2000
\WIN2K
\WINNT
\WINDOWS
\WINXP
i rejestruje się w zdalnym systemie zapewniając sobie uruchomienie wraz z każdym startem zainfekowanego komputera.

Procedura dodatkowa

W zależności od swojego wewnętrznego licznika robak rysuje w różnych kolorach tekst:

ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU GOD SHIVA TUPA DIOS DEUS

i wyświetla okno zatytułowane Worm/I-Worm/W32.BinLaden, zawierające tekst:

Bush, you need more hashish in your life
Why to take the Amazon from brazil. if you like polution ?
Brazilian ppl wants the USA destruction, not likeour president, smelling Bush`s balls
You are not the cops of the world, and World Trade Center was the first
Now you take the freedom from your own people, and the world is laughing ...
Ohhhh is this the famous American Way of Life ? HAHAHAHA !!!

BUGS EVERYWHERE

You kill more people per day than AIDS, giving money and arms to other countries
Now you are feeling the taste of your own poison...

Ohhhhhh i am sorry ... It isn`t sweet ?

Następnie robak pozostaje w uśpieniu przez około 10 sekund, po czym rozrzuca zawartość ekranu.

Robak próbuje zamykać okna następujących aplikacji:

Antiviral Toolkit Pro, AVP Monitor, Norton AntiVirus, Zone Alarm Freedom, Avconsol, McAfee VirusScan, Vshwin32

Wirus tworzy poniższy klucz rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Network\LanMan\BinLaden

usuwa klucz:

HKLM\System\CurrentControlSet\Services\VxD\NAVAP

oraz wartość klucza:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Norton Auto-Protect

Robak zapisuje hasła przechowywane przez system Windows w pliku BinLaden.ini.

W kodzie szkodnika zapisane są następujące teksty:

Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, all ppl in #vxers
And of course, Osama Bin Laden. Keep the good job with Antrhax, man !
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
Coded by NBK[MATRiX]
Every brazilian HATES USA ... Just try to get Amazon FROM US