6 grudnia 2002

I-Worm.Calposa - usuwa pliki i wyświetla obrazek

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanej wiadomości e-mail oraz przez system wymiany plików KaZaA. Szkodnik ma postać pliku PE EXE o rozmiarze 57 KB i został stworzony przy pomocy języka programowania Visual Basic.

Zainfekowane wiadomości wyglądają następująco:

Temat: Anti-Virus Programs are corrupting your Software!

Treść:

Want to know why you get junk mail? Well Here is proof that AV's are corrupting your programs and Sell your Private information to Web Company's! Why do you think there are so much virus's out there? well its these Company's that spread them and then sell you there product to delete them! check it out now... (p.s. its attatched)

Nazwa załącznika: ActiveX.exe, Telnet.exe lub MSWord.exe

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji robak kopiuje się do folderu systemowego z następującymi nazwami:

  • C:\Windows\ActiveX.exe
  • C:\Windows\SCR.exe
  • C:\Windows\Explorer.exe
  • C:\Windows\Telnet.exe
  • C:\Windows\MSWord.exe
  • C:\Windows\FUCK_AVs.exe
  • C:\Windows\regedit.exe
  • C:\Windows\Mixer.exe
  • C:\WINDOWS\System\Explorer.exe

Szkodnik nie tworzy żadnych wpisów w rejestrze ani w plikach systemowych.

Rozprzestrzenianie: wiadomości e-mail

Robak wysyła swoje kopie do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook.

Rozprzestrzenianie: system KaZaA

Szkodnik kopiuje się do współdzielonego folderu "C:\Program Files\KaZaa\My Shared Folder\" z następującymi nazwami:

  • norton_crack.exe
  • UT3_full_crack.exe
  • Windows_Hack.exe
  • Sims_Patch.exe

Funkcja dodatkowa

Robak wyświetla komunikat:

UH OH WORM!
... Calposa by Industry @ ANVXgroup ...

oraz podejmuje próbę nadpisania pliku "c:\Windows\System.ini" następującą zawartością:

[About]
Author = Industry
VXgroup = ANVXgroup (Auxnet)
Virus = ANVX (WIN32.calposa@mm)
Shouts to = Indovirus, mANiAC89, Retro, Iwing, and every one else.
Fuck = Fuck all AV's, we keep you in a job so give us a bit of slack!
To the rest = ANVX the one and only!

1 kwietnia szkodnik usuwa wszystkie pliki zapisane w następujących folderach:

  • C:\Windows\
  • C:\Windows\System32\
  • C:\Windows\System\
  • C:\Windows\inf\
  • C:\Program Files\Kazaa\

po czym usuwa plik:

C:\AutoExec.bat

i wyświetla komunikat:

Industry
...ping? pong!...

16 lutego robak wyświetla kolorowy obrazek:

2 kwietnia wirus wyświetla komunikat:

UH OH WORM!
... Second Release From Industry ...