23 października 2002

Trojan.VBS.Carewmr - udaje narzędzie CLRAV firmy Kaspersky Lab!

Carewmr jest niebezpiecznym koniem trojańskim stworzonym przy pomocy języka programowania VBS. Szkodnik podszywa się pod darmową aplikację antywirusową CLRAV stworzoną przez firmę Kaspersky Lab. Trojan usuwa zawartość folderu "C:\Windows".

Po uruchomieniu trojan wyświetla następujące komunikaty:

"Welcome to CLRAV of Kaspersky Labs, press OK or Accept to Start scanning your computer."

"ERROR!, Code error:3212552, please execute this tool in MS-DOS."

"Thank You for prefer Kaspersky Labs Products"

Następnie szkodnik ustawia witrynę http://www.avp.ru jako stronę startową przeglądarki internetowej. 1 wrzenia trojan wyświetla następujący komunikat:

"Mr.Carew vuelve otra vez!!, jaja"

Dodatkowo szkodnik usuwa następujące klucze rejestru systemowego:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\SystemTray"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\AVPCC"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\NAVW32"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\TrueVector"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\ZoneAlarm Pro"

Wirus tworzy na dysku zainfekowanego komputera wiele plików oraz folderów.

Tworzone pliki:

"C:\Norton2003isbad_preferKAVORAVP"; "C:\AVP"; "C:\NAV"; "C:\CHILE"; "C:\TEMUCO"; "C:\MCAFEE"; "C:\ENTELPCS"; "C:\GSM1900MHZ"; "C:\SONYERICSSON"; "C:\CAREFULLY_WHIT_ME"; "C:\YOUR_PC_IS_VERY_BAD"; "C:\I HATE MELINA"; "C:\VBS.CarewMR.a"; "C:\Windows is a real virus?"; "C:\MELINA_TE_ODIO_MUERETE!"; "C:\WindowsXP"; "C:\Windows3.11"; "C:\Windows98SE"; "C:\WindowsME"; "C:\Windows 95"; "C:\WindowsNT"; "C:\Windows2000"; "C:\TELLCELL S.A"; "C:\PORN"; "C:\ORAL_SEX"; "C:\BIN_LADEN_FUCKYOU"; "C:\ICQ"; "C:\PANDA"; "C:\NOD32"; "C:\TREND"; "C:\PC-CILLIN"; "C:\AvpM.exe"; "C:\Kaspersky_AntiVirus_PersonalPRO_THEBEST!!!!!"; "C:\Norton_thePOOR"; "C:\Madonna_Sucking_my_dick.avi"; "C:\Your_system_is_infected_by_a_virus_jajajajajajaja.jajajaja"; "C:\THE_HEURISTIC_OF_NORTON_IS_VERY_BAD_AND_
PRODUCE:POSITIVES-FALSES";

Tworzone foldery:

"C:\Symantec"; "C:\KasperskyLabs"; "C:\PandaSoftware"; "C:\TrendMicro"; "C:\Eset-Nod-fucked";

Ponadto trojan tworzy plik tekstowy o nazwie CLRAV_Report.log zawierający następujący tekst:

"Due an error, Code error:3212552, CLRAV has not disinfect your computer"
"For Support please send a e-mail to support@kaspersky.com and please indicate the Code Error."