7 września 2002

Worm.P2P.Kazmor - kolejny robak P2P

Jest to robak sieciowy rozprzestrzeniający się poprzez sieci wymiany plików P2P (peer-to-peer). Szkodnik ma postać pliku PE EXE o rozmiarze około 55 KB i został stworzony przy pomocy środowiska programistycznego Delphi.

Instalacja

Podczas instalacji szkodnik kopiuje się do systemowego folderu Windows z nazwami:

  • "Kazmor.a": Windows.exe
  • "Kazmor.b": KERNEL32.VMM

po czym ustawia dla kopii atrybut "ukryty" i tworzy klucz auto-run w rejestrze systemowym:

"Kazmor.a":

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows = %WindowsDir%\Windows.exe

"Kazmor.b":

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Kernel = %WindowsDir%\KERNEL32.VMM

Dodatkowo "Kazmor.a" ukrywa się w systemie, natomiast "Kazmor.b" tworzy klucz HKCR\.vmm powiązany z typem plików EXE. W rezultacie pliki VMM uruchamiane są tak, jak pliki EXE.

Rozprzestrzenianie

Na żądanie zdalnego użytkownika (patrz opis procedury backdoor) robak rozprzestrzenia się w sieci lokalnej lub infekuje udostępnione foldery P2P. Szkodnik otwiera dostępne, sieciowe napędy i kopiuje się na nie do folderu "\WINDOWS\Start Menu\Programs\StartUp\" z nazwą "REAL PLAYER.EXE".

Szkodnik kopiuje się do współdzielonych folderów programów KaZaA oraz Morpheus z poniższymi nazwami:

'preteen snuff sex rape with a stick hardcore.exe', 'violent preteen gang bang illegal.exe', 'teen tied up and raped.exe', 'teen raped in basement with dildo by 2 men.exe', '14 year old on beach.exe', '15 year old on beach.exe', '16 year old on beach.exe', 'preteen sucking huge cock illegal.exe', 'illegal preteen porn anal fisting.exe', 'fetish bondage preteen porno.exe', 'jenna jameson sex scene huge dick blowjob.exe', 'nikki nova sex scene huge dick blowjob.exe', 'jenna jameson - built for speed.exe', 'cute girl giving head.exe', 'jenna jameson - shower scene.exe', 'jenna jameson - xxx nurse scene.exe', 'chubby girl fucked from all angles xxx.exe', '[tmd]star wars episode 2 - attack of the clones [1of1].exe', '[tmd]sum of all fears [1of1].exe', 'kill osama bin laden game.exe', 'caught on camera - man hit by car - faces of death.exe', 'CKY2K - Bam Margera.exe', 'CKY3 - Bam Margera.exe', 'chubby girl bukkake gang banged sucking cock.exe', 'brutal preteen porn xxx.exe', 'illegal porno - 15 year old raped by two men on boat.exe', 'windows xp key generator and cracker.exe', 'daniel pearl execution video gruesome and hardcore.exe', 'winzip key generator.exe', 'cat attacks child.exe', 'evil pranksters - light church on fire.exe', 'jesus game - really fun.exe', 'divx codec installer.exe', 'hot girl on the beach sucking cock and fucking guy.exe', 'devin in elevator sex.exe', 'microsoft office xp cracked.exe', 'microsoft visual studio 6.0.exe', 'microsoft .NET.exe', '[DiVX] Lord of the rings.exe', '[DiVX] Harry Potter and the sorcerors stone.exe', 'macromedia flash 5.0.exe', 'macromedia dreamweaver 4.0.exe', 'nuke afghanistan game.exe', 'Britney Spears Nude Cum.exe', 'Christina Agulera Nude Cum.exe', 'Christina Ricci Nude Cum.exe', 'AIM Password Stealer.exe', 'AIM Account Stealer.exe', 'AIM Account Hacker.exe', 'AIM Flooder.exe', 'MSN Password Hacker and Stealer.exe', 'MSN Flooder.exe', 'Hacking Tool Collection.exe', 'WinZip.exe', 'Windows XP.exe', 'Halflife Crack.exe.exe', 'Halflife Key Generator.exe.exe', 'Counterstrike Key Generator.exe.exe', 'Halflife and Counterstrike serial database.exe', 'DSL Modem Uncapper.exe', 'Cable Modem Uncapper.exe', 'T1 Modem Uncapper.exe', 'T3 Modem Uncapper.exe', 'DivX Install.exe', 'Two girls - Blonde and Brunette - Giving head.exe', 'How to hack.exe', 'How to hack websites.exe', 'Preteen Rape Sex Illegal - Jenny - 13 Years old.exe', 'Lolita preteen sex.exe', 'Bondage Fetish Foot Cum.exe', 'Blonde and Japanese girl bukkake.exe', 'Kill Osama Bin Ladin game.exe', 'Preteen lesbians.exe', 'Choke on cum (sodomy, rape).exe', 'Halflife and Counterstrike Cheating Death Hack!!!.exe', 'WebCam Voyeur Spy.exe.exe', 'FBI Spy Program.exe', 'XXX Porn Passwords.exe', 'Jenna Jameson Nude Gang Bang Forced Cum Blowjob.exe', 'CKY2K - Bam Margera Toy Machine.exe', 'CKY3 - Bam Margera World Industries Alien Workshop.exe', 'Chip and dale.exe', '14 Year old webcam.exe', '15 year old webcam.exe', '16 year old webcam.exe', '12 year old forced rape cum.exe', 'illgal incest preteen porn cum.exe', 'girls gone wild.exe', 'debby does dallas.exe', 'Devon - Elevator Scene.exe', 'I Deep Throat - Kelly.exe', 'Another bang bus victim forced rape sex cum.exe', 'ZoneAlarm Firewall.exe', 'WinZip Key Generator and Crack.exe', 'How to be a terrorist - anarchist cookbook.exe', 'Government Secrets.exe', 'Nero Burning ROM [Cracked].exe', 'Internet and Computer Speed Booster.exe', 'Teen Violent Forced Gangbang.exe', 'PS1 Boot Disc.exe', 'Sony Play station boot disc.exe', 'PS2 Boot Disc.exe', 'Borland Delphi 5 Key Generator.exe', 'Borland Delphi 6 Key Generator.exe'.

Procedura backdoor

Procedura backdoor umożliwia zdalnemu użytkownikowi wykonywanie następujących operacji:

  • wysyłanie szczegółowych informacji o zainfekowanym komputerze,
  • pobieranie haseł, kont MSN oraz informacji programu .NET Messenger,
  • rozprzestrzenianie robaka w sieci lokalnej,
  • pobieranie plików ze stron WWW,
  • uruchamianie plików,
  • przeprowadzanie ataków DoS na zdalnych komputerach,
  • uruchamianie komendy ping,
  • skanowanie portów oraz adresów IP,
  • przekierowywanie portów komputera,
  • wysyłanie wiadomości przy użyciu programu AOL Instant Messenger oraz kanałów mIRC.

Informacje dodatkowe

W kodzie robaka zapisany jest następujący tekst:

Apartheid v.1.7 alpha copy. "50 Years later, you've still got an agenda, for world domination, but you better think again" - Vaginal Jesus.