18 lipca 2002

Worm.P2P.Surnova - korzysta z programów Kazaa oraz Windows Messenger

Jest to robak rozprzestrzeniający się przy użyciu programów Windows Messenger oraz Kazaa. Wirus umieszcza swoje kopie we współdzielonym katalogu programu Kazaa i wysyła je korzystając z aplikacji Windows Messenger.

Instalacja

Po pierwszym uruchomieniu robak kopiuje się do folderu Windows z jedną z poniższych nazw:

  • Alles-ist-vorbei.exe;
  • Desktop-shooting.exe;
  • Hello-Kitty.exe;
  • BigMac.exe;
  • Cheese-Burger.exe;
  • Blaargh.exe.

Robak tworzy dla swojej kopii klucz w rejestrze systemowym, co gwarantuje mu aktywację wraz z każdym startem systemu operacyjnego:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run Supernova=(jedna z powyższych nazw)

Robak wyświetla na ekranie fałszywy komunikat o wystąpieniu błędu:

(nazwa pliku robaka)
Application attempted to read memory at 0xFFFFFFFFh
Terminating application

Rozprzestrzenianie: sieć Kazaa

Robak pobiera z rejestru systemowego nazwę współdzielonego katalogu programu Kazaa. Jeżeli folder ten nie istnieje wirus korzysta z katalogu Media znajdującego się w folderze Windows. Następnie szkodnik kopiuje się do odnalezionego katalogu wybierając nazwę z poniższej listy:

Windows XP key generator.exe; Windows XP serial generator.exe; Key generator for all windows XP versions.exe; Warcraft 3 ONLINE key generator.exe; Half-life ONLINE key generator.exe; Quake 4 BETA.exe; Grand theft auto 3 CD1 crack.exe; GTA3 crack.exe; Battle.net key generator (WORKS!!).exe; Warcraft 3 battle.net serial generator.exe; Half-life WON key generator.exe; Star wars episode 2 downloader.exe; Winzip 8.0 + serial.exe; Winrar + crack.exe; Britney spears nude.exe; Macromedia MX key generator (all products).exe; KaZaA media desktop v2.0 UNOFFICIAL.exe; Microsoft key generator, works for ALL microsoft products!!.exe; Microsoft Windows XP crack pack.exe; Hack into any computer!!.exe; DivX codec v6.0.exe; DivX newest version.exe; DivX.exe; DivX pro key generator.exe; Key generator for over 1,000 applications (really!).exe; DivX patch - Increases quality.exe; KaZaA spyware remover.exe; Age of empires 2 crack.exe; Norton antivirus 2002.exe; Macromedia Dreamweaver MX Key Generator.exe; Macromedia Flash MX Key Generator.exe; Microsoft Office XP (english) key generator.exe; Microsoft Office XP.iso.exe; CloneCD + crack.exe; CloneCD all-versions key generator.exe; XBOX emulator (WORKS!!).exe; Gamecube Emulator (WORKS!!).exe; Xbox.info.exe.

Rozprzestrzenianie: Windows Messenger

W przypadku wykrycia aktywnej kopii programu Windows Messenger, robak próbuje wysyłać swoje kopie do wszystkich użytkowników zapisanych na liście adresowej. W celu zmylenia użytkownika robak wysyła również jeden z poniższych tekstów:

  • Hehe, check this out :-)
  • Funny, check it out (h)
  • LOL!! See this :D
  • LOL!! Check this out :)

Funkcje dodatkowe

Jeżeli robak zostanie uruchomiony z pliku znajdującym się poza folderem Windows, tworzony jest plik tekstowy posiadający losową nazwę oraz następującą zawartość:

W32.Supernova
---------------------------------------------------
'Patch the leaks or the ship will sink'
---------------------------------------------------

Ponadto w zależności od własnych wewnętrznych liczników robak wyświetla na ekranie następujący komunikat:

Just checkin' the walls...
Patch the leaks or the ship will sink