19 lipca 2002

Worm.Win32.Ladex - bawiąc infekuje

Jest to robak działający wyłącznie w systemach Windows NT/2000/XP i rozprzestrzeniający się w sieci lokalnej. Szkodnik ma postać pliku PE EXE o rozmiarze około 275 KB i został stworzony przy pomocy środowiska programistycznego Microsoft Visual C++.

Instalacja

Po pierwszym uruchomieniu robak umieszcza w folderach systemowych trzy kopie:

  • %SystemRoot%\Help\DOSAPP.HLP
  • %SystemRoot%\Inf\CDROM.SYS
  • %SystemRoot%\Fonts\DOSOEM.FON

oraz trzy ukryte pliki będące składnikami szkodnika:

  • %SystemRoot%\SMSS.EXE
  • %SystemRoot%\CSRSS.EXE
  • %SystemRoot%\System32\LADY.EXE

Następnie wirus tworzy w rejestrze systemowym klucz gwarantujący uruchamianie plików SMSS.EXE oraz CSRSS.EXE wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
@="smss.exe"
@="csrss.exe"

Szkodnik rejestruje się jako serwis systemowy z nazwą "TCP/IP NetBIOS Provider". Po restarcie komputera lub serwisu "TCP/IP NetBIOS Provider" robak kopiuje się do pliku %SystemRoot%System32LMHSVC.EXE.

Rozprzestrzenianie

Wirus skanuje adresy IP komputerów znajdujących się w lokalnej sieci i próbuje połączyć się z zasobami posiadającymi nazwy IPC$ oraz Admin$. Jeżeli operacja ta zostanie wykonana pomyślnie robak umieszcza swoją kopię w folderze systemowym atakowanej maszyny:

\\XXX.XXX.XXX.XXX\Admin$\System32\lmhsvc.exe

gdzie "XXX.XXX.XXX.XXX" to numer IP atakowanego komputera.

Niewidzialność

Robak próbuje ukryć swoją obecność w systemie z pomocą dwóch dodatkowych komponentów: SMSS.EXE oraz CSRSS.EXE.

Funkcja dodatkowa

Wirus uruchamia program LADY.EXE, który wyświetla na pulpicie grupę much i umożliwia ich "zabijanie" przy pomocy myszy.