20 marca 2002

I-Worm.Borzella - wyświetla komunikaty

Jest to robak internetowy rozprzestrzeniający się poprzez Internet jako załącznik wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 50 KB i został napisany w języku programowania Microsoft Visual C++.

Temat, treść oraz nazwa załączonego pliku jest generowana losowo przy użyciu poniższych informacji.

Tematy:

  • Storielle..
  • Leggete urgentemente questa e-mail!! (se avete tempo da perdere)
  • Divertimento assicurato..

Treści:

  • Ciao,
    guarda l'allegato... ti potrebbe interessare.
  • Ciao,
    devi assolutamente vedere il file che ti ho allegato.
  • Ciao,
    dai un'occhiata all'allegato e ti farai due risate ;-)

Nazwy załączników:

  • bar.exe
  • pippo.exe
  • porkis.exe

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik. Następnie szkodnik instaluje się w systemie, uruchamia procedurę rozprzestrzeniającą oraz funkcje dodatkowe.

Instalacja

Podczas instalacji robak kopiuje się do katalogu Windows z nazwą dllmgr.exe i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Dll Manager = %WinDir%\dllmgr.exe

Następnie robak wyświetla poniższe teksty:

Quiz
Cosa dice un vettore ad un altro?

Risposta
...Scusa, hai un momento?...

Barzelletta
Sai chi e il fratello di Giorgio Armani?

Risposta
...Emporio!

Quiz
Ti trovi al volante della tua auto e circoli ad una velocitŕ costante.
Alla tua sinistra c'e un precipizio.
Alla tua destra un camion dei pompieri che viaggia esattamente alla tua stessa velocitŕ.
Davanti a te cavalca un maiale visibilmente piu grande della tua macchina.
Dietro di te ti segue un elicottero che vola raso terra.
Gli ultimi due, anch'essi alla tua stessa velocitŕ.
Che fai per fermarti?

Risposta
...scendi dalla giostra,imbecille!!!

Cavolata finale
Gesu ai discepoli: 'In veritŕ, in veritŕ vi dico: y=x^2-4x+7'.
I discepoli commentano un po' fra di loro, poi Pietro si avvicina mestamente a Gesu, dicendogli:
'Maestro, perdonaci, ma non comprendiamo il tuo insegnamento...'

6 września robak wyświetla na ekranie następujący komunikat:

Accadde il 6 settembre
Attenzione signori!!!
Oggi non e' mica un giorno fesso come gli altri:
spegnete il computer e uscite,godetevi la vita,abbracciate e baciate la persona a voi piu' cara.
Viva l'amore.
;-)

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z serwerem SMTP. Adresy "ofiar" pobierane są z książki adresowej systemu Windows (WAB) .