10 października 2002

Worm.Win32.Fleming - kradnie numery rejestracyjne gier

Jest to robak kradnący numery rejestracyjne gier komputerowych "Counter-Strike" oraz "Half-Life". Szkodnik rozprzestrzenia się poprzez aplikację Windows (.NET) Messenger. Dodatkowo wirus instaluje inne szkodliwe programy pobrane z internetu.

Szkodnik ma postać aplikacji PE EXE o rozmiarze 53248 bajtów i został stworzony przy pomocy języka programowania Visual Basic.

Wirus nie instaluje się w systemie, zatem jego aktywacja może nastąpić dopiero po uruchomieniu zainfekowanego pliku przez użytkownika.

Po uruchomieniu szkodnik podejmuje próbę pobrania, zapisania i uruchomienia dwóch plików znajdujących się w zasobach internetu:

  • C:\update35784.exe,
  • C:\hehe2397824.exe.

Następnie robak łączy się z komunikatorem Windows (.NET) Messenger i oczekuje na przychodzące wiadomości. Jeżeli pojawią się określone komunikaty nadawane z adresu styggefolk@hotmail.com, szkodnik odpowiada wiadomością zawierającą numery rejestracyjne gier "Half-Life" oraz "Counter-Strike".

Wirus wysyła do wszystkich użytkowników zapisanych na liście kontaktów komunikatora Windows (.NET) Messenger następującą wiadomość:

Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does! http://home.no.net/downl0ad/BR2002.exe <<-- There you can download it! give me advices on what to upgrade please!!

Adres znajdujący się w treści komunikatu (http://home.no.net/downl0ad/BR2002.exe) prowadzi do kopii robaka.