4 grudnia 2002

I-Worm.Duksten - nie może infekować

Jest to robak rozprzestrzeniający się przez interent jako archiwum ZIP załączone do zainfekowanej wiadomości e-mail. Szkodnik ma postać pliku PE EXE o rozmiarze około 10 KB. Załączone archiwum zawiera kopię robaka o nazwie "w_skudo.exe" zapisaną w archiwum SKUDO.ZIP.

Zainfekowane wiadomości wysyłane przez robaka wyglądają następująco:

Od: "ISP_Tecnico"
Temat: NetsKudo,proteccion IP para Windows9x/Me/Nt/2000/XP
Nazwa załącznika: SKUDO.ZIP

Treść wiadomości jest pusta.

Szkodnik aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji robak kopiuje się z nazwą "NetSkudo.exe" do systemowego folderu Windows i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
XRF = %SystemDir%\NetSkudo.exe

Rozprzestrzenianie

Robak pobiera kontakty "ofiar" z książki adresowej Windows (plik WAB). W celu wysyłania zainfekowanych wiadomości wykorzystywane jest bezpośrednie z domyślnym serwerem SMTP.

W procedurach rozprzestrzeniających występują błędy i z tego powodu szkodnik może mieć problemy z wysyłaniem wiadomości przy użyciu serwerów SMTP, które są w pełni zgodne ze standardami RFC.

Podczas wysyłania zainfekowanych wiadomości robak tworzy następujące pliki w folderze systemowym Windows:

  • m_WAB.XRF - lista adresów "ofiar"
  • m_Base64.xrf - plik ZIP robaka w formacie MIME
  • m_prgrm.zip - plik ZIP robaka

Informacje dodatkowe

Robak podejmuje próby infekowania plików PE EXE zapisanych na twardym dysku, lecz ze wzgledu na błąd w kodzie nie udaje mu się to.