8 lipca 2002

Worm.Win32.Datom - nie lubi programu "ZoneAlarm"

Jest to robak rozprzestrzeniający się między udostępnionymi zasobami sieciowymi.

Robak składa się z trzech plików:

  • MSVXD.EXE;
  • MSVXD16.DLL;
  • MSVXD32.DLL.

Pierwszy komponent (MSVXD.EXE) aktywuje robaka poprzez załadowanie biblioteki MSVXD16.DLL. Z kolei MSVXD16.DLL ładuje komponent MSVXD32.DLL, który wykonuje funkcje robaka.

Rozprzestrzenianie

Robak szuka dostępnych zasobów sieciowych i próbuje połączyć się z ich hostami. Jeżeli połączenie zostanie nawiązane robak szuka udostępnionego katalogu Windows (robak próbuje wykorzystać nazwę "WinNT" oraz skanuje sekcję "WinDir" pliku MSDOS.SYS). Następnie szkodnik kopiuje wszystkie swoje komponenty do zdlanego katalogu Windows i modyfikuje plik "Win.ini" (dodaje do sekcji "Run" nazwę własnego komponentu - MSVXD.EXE) w celu zapewnienia sobie uruchomienia wraz z kolejnym startem systemu operacyjnego. Jeżeli plik "Win.ini" nie zostanie odnaleziony robak tworzy we wspólnym katalogu startowym ("Wszyscy użytkownicy") zdalnego komputera skrót do pliku MSVXD.exe, posiadający nazwę "VxD Manager.lnk".

Funkcje dodatkowe

Robak szuka programu "ZoneAlarm" i próbuje zakończyć działanie wszystkich jego aktywnych instancji. Ponadto szkodnik próbuje wysyłać wiadomości e-mail pod dwa adresy. Wiadomości te zawierają informacje o zainfekowanym komputerze.