28 listopada 2002

WormP2P_Xerom - drukarz

Jest to robak internetowy rozprzestrzeniający się w sieci KaZaA, przez kanały IRC oraz na lokalnych i sieciowych dyskach. Szkodnik ma postać aplikacji PE EXE o rozmiarze około 78 KB (plik skompresowany przy użyciu narzędzia Telock) i został stworzony przy użyciu środowiska programistycznego Delphi.

Instalacja Podczas instalacji robak kopiuje się do katalogu głównego dysku C: z nazwą wybieraną spośród następujących możliwości:

xex0x.exe, xer0x.exe, x3rox.exe, x3r0x.exe, xerox.com, xer0x.com, x3rox.com, x3r0x.com, x3xox.exe

Następnie robak tworzy dla swojej kopii klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
xerox = C:\%nazwa robaka%

gdzie %nazwa robaka% jest wybierana losowo.

Kolejnym krokiem robaka jest umieszczenie własnej kopii w folderze Autostart systemu Windows oraz utworzenie nowego klucza rejestru:

HKLM\Software\xerox
xeroxlocation = %bieżąca nazwa%

gdzie %bieżąca nazwa% jest pełną nazwą pliku, z którego robak został uruchomiony.

Następnie robak podejmuje próbę zamknięcia aktywnych programów antywirusowych i innych aplikacji związanych z bezpieczeństwem:

 IAMAPP.EXE          VSHWIN32.EXE           ICLOAD95.EXE
 IAMSERV.EXE         VSECOMR.EXE            ICMON.EXE   
 CFINET.EXE          WEBSCANX.EXE           ICSUPPNT.EXE
 APLICA32.EXE        AVCONSOL.EXE           ICLOADNT.EXE
 ZONEALARM.EXE       VSSTAT.EXE             ICSUPPNT.EXE
 ESAFE.EXE           NAVAPW32.EXE           TDS2-98.EXE 
 CFIADMIN.EXE        NAVW32.EXE             TDS2-NT.EXE 
 CFIAUDIT.EXE        _AVPCC.EXE             TDS2-XP.EXE 
 CFINET32.EXE        _AVPM.EXE              SAFEWEB.EXE 
 PCFWALLICON.EXE     AVP.EXE                ZAPRO.EXE   
 FRW.EXE             LOCKDOWN2000.EXE       BLACKICE.EXE

Infekowanie systemu KaZaA

Robak infekuje system KaZaA umieszczając swoje kopie we współdzielonym folderze. Kopie te mogą posiadać następujące nazwy:

  • XXX.mpeg.exe
  • gutter sluts.mpeg.exe
  • watch britney fuck.mpeg.exe
  • buffy nude.mpeg.exe
  • HARDCORE SEX TEENS 1M-4F.mpg.exe
  • teen blow jobs and fucks.mpeg.exe
  • FULL TEENS NAKED AND FUCKED.mpeg.exe
  • teen sex.mpeg.exe
  • 4 hot fucking naked girls.mpeg.exe
  • kazza2_skin_aqua.exe

Infekowanie porzez kanały IRC

Robak szuka klienta mIRC i tworzy w jego folderze plik SCRIPT.INI zawierający instrukcje wysyłające kopie szkodnika do każdego użytkownika przyłączającego się do zainfekowanego kanału IRC.

W pliku SCRIPT.INI można znaleźć następujący tekst:

Please dont edit this script... mIRC will no longer runcorrectly

Infekowanie dysków

Robak kopiuje się do głównego folderu wszystkich logicznych napędów (od C: do Z:). Jeżeli szkodnik znajdzie na dysku plik AUTORUN.INF, dopisuje do niego instrukcję uruchamiającą go wraz z każdym startem systemu operacyjnego.

Funkcja dodatkowa

13 grudnia robak wykonuje następujące operacje:

  • Wyświetla komunikat:

    - all your bases belongs to us - SYSTEM OWNED BY "tHE xEROx wORM" - fix the network problems - no harm to your systems done.

  • Wysyła do wszysztkich użytkowników sieci następujący tekst:

    SYSTEM OWNED BY "tHE xEROx wORM" - all your bases belongs to us

  • Tworzy plik "c:\3jf9302m.txt", zapisuje do niego tekst i drukuje go:

    .XeroX win32 worm - all yours bases belongs to us.

    - system owned -
    - network compromised -
    - antvirus/ firewalls shutdown -
    - xerox 2 all users names that log into a infect machine -
    - infects kazaa -
    - disk drive infected -
    - net send command -
    - packet servers -
    - no harm done to system/user files -

    worm was designed ONLY to spred not to do any permanant damage, just dont allow worm to infect a lage network as it can packet the server, on 13th of december any year.

Powyższy tekst jest zapisywany do pliku i drukowany 200 razy.