23 sierpnia 2002

Po raz kolejny wirus atakuje sieć wymiany plików KaZaA - Worm.P2P.Duload.

Kaspersky Lab informuje o wykryciu nowego robaka internetowego o nazwie "Duload", który rozprzestrzneia się w sieci wymiany plików KaZaA. Do centrum antywirusowego Kaspersky Lab zgłoszono juz kilka przypadków infekcji nowym wirusem.

Robak jest plikiem wykonywalnym systemu Windows (PE EXE) napisanym w języku Visual Basic. Obecnie znane są dwie jego modyfikacje:

  • Worm.P2P.Duload.a  - rozmiar 18432 bajtów
  • Worm.P2P.Duload.b  - rozmiar 7680 bajtów (skompresowany narzedziem UPX)

Jeżeli program zostanie uruchomiony "Duload" kopiuje się do katalogu systemowego Windows pod nazwą "SystemConfig.exe" i modyfikuje wpisy w rejestrze by zapewnić sobie aktywację podczas każdego uruchomienia systemu Windows. Następnie robak tworzy w katalogu Windows folder "Media" i umieszcza w nim 39 swoich kopii o różnych nazwach takich jak:

  • Pamela Anderson And Tommy Lee Home Video.exe
  • Alicia Silverstone Payboy Nude.exe
  • Kama Sutra Tetris.exe
  • Soldier Of Fortune 2 Mutiplayer Serial Hack.exe
  • The Sims Game Crack.exe
  • Warcraft 3 Battle.net Crack.exe

"Duload" modyfikuje również wpisy w rejestrze by udostępnić stworzony folder "Media" dla użytkowników sieci KaZaA. Jedna z modyfikacji robaka (Worm.P2P.Duload.a) pobiera również z serwera internetowego kilka koni trojańskich pozwalających na zdalne zarządzanie zainfekowaną maszyną.

Ochrona przed robakiem "Duload" została już dodana do antywirusowych baz danych programu Kaspersky Anti-Virus.