9 lipca 2002

I-Worm.Calil - zmienia właściciela systemu Windows

Jest to robak internetowy rozprzestrzeniający się w zainfekowanych wiadomościach e-mail.

Wiadomości wysyłane przez robaka posiadają następujący wygląd:

Temat: FW:FW: LILAC project video attach
Nazwa załącznika: LILAC_WHAT_A_WONDERFULNAME.avi
Rozmiar załącznika: 12208 bajtów
Treść wiadomości: Things that the govt. dont want you to know

Instalacja

Po pierwszym uruchomieniu robak próbuje umieścić swoją kopię w następujących katalogach:

  • c:\win98\temp\LILAC_WHAT_A_WONDERFULNAME.avi
  • c:\windows\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe
  • c:\win95\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe
  • c:\winnt\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe
  • c:\winme\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe
  • c:\winxp\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe

Ponadto robak zapewnia sobie automatyczne uruchomienie wraz z każdym startem systemu operacyjnego poprzez zapisanie następującej wartości w rejestrze systemowym:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run Lilac=(one of the paths specified above)

Następnie szkodnik wyświetla okno zawierające fałszywy komunikat:

Windows
ÄÄÄÄÄÄÄ
Error54: Media Player not installed correctly

Rozprzestrzenianie

Robak wysyła swoje kopie przy użyciu programu Microsoft Outlook, do wszystkich użytkowników zapisanych w książce adresowej Windows.

Funkcje dodatkowe

Robak zmienia dane dotyczące właściciela zainfekowanego systemu zapisując następujące wartości w rejestrze systemowym:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner=xEnOcrAtEs
LegalNoticeCaption=Owned by:
LegalNoticeText=Owned by: xEnOcrAtEs

W wyniku zapisania powyższych wartości system Windows wyświetla podczas startu okno zawierające następujący tekst:

Owned by:
Owned by: xEnOcrAtEs