21 czerwca 2002

I-Worm.Runouce - kończy działanie chińskich aplikacji

Jest to robak rozprzestrzeniający się poprzez Internet jako załącznik wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 10 KB i został stworzony przy pomocy języka programowania Assembler.

Zainfekowane wiadomości rozsyłane przez robaka wyglądają następująco:

Temat: Hi,i am %(Name of victim's computer)%
Nazwa załącznika: p.exe

Treść wiadomości jest pusta.

Szkodnik aktywuje się automatycznie podczas przeglądania zainfekowanej wiadomości korzystając z luki w zabezpieczeniach programu Internet Explorer (IFRAME).

Instalacja

Robak kopiuje się do katalogu systemowego Windows z nazwą "Runouce.exe" i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run Runonce = %System%\Runouce.exe

gdzie %System% jest nazwą systemowego katalogu Windows.

W momencie aktywacji robak tworzy blokadę uniemożliwiającą jednoczesne uruchomienie kilku jego instancji.

Rozprzestrzenianie

Robak tworzy we wszystkich dostępnych katalogach (włącznie z zasobami sieciowymi) pliki .EML zawierające jego własną kopię. Nazwy kopii są identyczne z nazwą zainfekowanego komputera. Przykładowo jeżeli komputer został nazwany KOMPUTER, kopie robaka będą posiadały nazwy KOMPUTER.EML.

Robak szuka swoich potencjalnych "ofiar" w książce adresowej systemu Windows (WAB) oraz w plikach .ADC oraz .DB zapisanych na wszystkich dostępnych katalogach, z wyjątkiem folderu Windows. W celu wysyłania wiadomości pod odnalezione adresy robak wykorzystuje bezpośrednie połączenie z serwerem SMTP "btamail.net.cn".

Funkcje dodatkowe

Robak zmienia czas dostępu do plików .EXE oraz SCR zapisanych we wszystkich dostępnych katalogach, z wyjątkiem folderu Windows.

Robak kończy działanie niektórych aplikacji posiadających chińskie nazwy (prawdopodobnie chińskie programy antywirusowe).