21 grudnia 2001

I-Worm.Welyah - usuwa pliki

Jest to niebezpieczny robak rozprzestrzeniający się w systemach Win32. Wirus rozsyła się w postaci zainfekowanych plików załączonych do wiadomości e-mail i może również infekować sieć lokalną oraz kraść informacje z zainfekowanych systemów. Robak posiada procedury destrukcyjne. Ma postać pliku PE EXE o rozmiarze około 108 KB i został napisany w języku programowania Visual Basic 6.

Infekowanie systemu

Robak aktywuje się automatycznie (korzystając z dziury w zabezpieczeniach zwanej IFRAME) użytkownik musi uruchomić plik załączony do zainfekowanej wiadomości. Na początku robak instaluje swoje komponenty w systemie i tworzy dla nich klucze w rejestrze systemowym.

Podczas instalacji robak kopiuje się z nazwą WINL0G0N.EXE do systemowego katalogu Windows i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINL0G0N.EXE = \WINL0G0N.EXE

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości wirus wykorzystuje bezpośrednie połączenie z serwerem SMTP. Robak pobiera adres serwera SMTP z rejestru systemowego lub wykorzystuje adres 210.177.111.18.

Adresy e-mail pobierane są przez wirusa z plików posiadających następujące rozszerzenia:

*.eml, *.wab, *.dbx, *.mbx, *.xls, *.xlt, *.mdb

Wysyłane wiadomości posiadają format HTML i wykorzystują dziurę IFRAME. Wiadomości wyglądają następująco:

Temat: Welcome to Yahoo! Mail
Treść: Welcome to Yahoo! Mail
Załączony plik: readme.txt

Robak przechowuje listę adresów e-mail w pliku emailinfo.txt.

Wysyłanie plików z lokalnego komputera

Robak szuka na lokalnych dyskach następujących plików:

tree.dat, smdata.dat, hosts.dat, sm.dat

i wysyła je na serwer "ftphd.pchome.com.tw" do następujących użytkowników: shit0918, shit530, shiu58, shoho2 oraz shoo2206.

Procedura destrukcyjna

Robak usuwa wszystkie pliki zapisane w bieżącym katalogu oraz w katalogu Windows.