12 kwietnia 2001

I-Worm.Badtrans - wieloelementowy robak.

Jest to robak rozprzestrzeniający się w systemach Win32. Wirus wysyła zainfekowane wiadomości e-mail oraz instaluje w systemie szpiegującego trojana, który kradnie informacje z zarażonego systemu. Szkodnik został znaleziony na wolności 12 kwietnia 2001.

Robak jest uruchamialnym plikiem Win32 (PE EXE). Dociera do komputera w postaci skompresowanej i ma rozmiar około 13kB. Po rozpakowaniu, rozmiar wirusa zwiększa się do około 40kB.

Robak składa się z trzech różnych komponentów, które umieszczane są na dysku atakowanego komputera jako oddzielne pliki i uruchamiane są jako samodzielne aplikacje (robak oraz trojan). Głównym komponentem jest robak. Przechowuje on w sobie kod trojana i instaluje go w systemie podczas infekowania nowej maszyny.

Infekowanie systemu

Gdy zainfekowany plik zostanie uruchomiony (gdy użytkownik kliknie na załączonym do wiadomości pliku), kontrolę przejmuje kod robaka. Wirus kopiuje się do katalogu Windows z nazwą INETD.EXE i umieszcza trojana w pliku o nazwie HKK32.EXE. Po uruchomieniu, trojan przenosi się do katalogu systemowego Windows z nazwą KERN32.EXE i umieszcza tam dodatkową bibliotekę - HKSDLL.DLL.

Szkodnik tworzy dwa pliki w katalogu Windows:

HKK32.EXE - trojan (jest uruchamiany później)
INETD.EXE - kopia robaka

Po uruchomieniu, trojan przenosi się do katalogu systemowego Windows:

KERN32.EXE - trojan (drugia kopia)
HKSDLL.DLL - biblioteka trojana (keylogger)
CP_23421.NLS - dane trojana

oraz usuwa plik HKK32.EXE z katalogu Windows.

Następnie, robak rejestruje się w systemowych sekcjach auto-run. W systemach Win9x zapisuje komendę "run=" do sekcji [windows] pliku WIN.INI:

[windows]
load=
run=C:\WINDOWS\INETD.EXE

W systemach WinNT/2000 wirus tworzy klucz w rejestrze systemowym

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Po zakończeniu instalacji, robak wyświetla poniższą wiadomość:

Install error
File data corrupt:
probably due to bad data transmission or bad disk access.

Rozprzestrzenianie

Procedura rozprzestrzeniająca uruchamiana jest podczas kolejnego startu systemu Windows. Robak rejestruje się jako ukryty proces (serwis) i przez około 5 minut pozostaje w uśpieniu. Następnie, szkodnik uzyskuje dostęp do funkcji MAPI systemu Windows, otwiera i skanuje wszystkie nie przeczytane wiadomości.

Załącznik wysyłanej przez robaka wiadomości, jest wybierany z poniższych możliwości: Pics.ZIP.scr images.pif README.TXT.pif New_Napster_Site.DOC.scr news_doc.scr hamster.ZIP.scr YOU_are_FAT!.TXT.pif searchURL.scr SETUP.pif Card.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif s3msong.MP3.pif docs.scr Humor.TXT.pif fun.pif

Trojan

Trojan jest modyfikacją wirusa znanego jako "Trojan.PSW.Hooker". Wysyła on informacje pobrane z zainfekowanego komputera pod adres ld8dl1@mailandnews.com.