Strona główna O nas Informacje prasowe

10 grudnia 2002

I-Worm.Galil - wyświetla animacje i usuwa pliki

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości. Składa się z kilku elementów mających postać plików PE EXE. Szkodnik powstał przy pomocy języka programowania Visual Basic.

Robak składa się z następujących elementów:

  • Główny plik: "iLLeGaL.exe", rozmiar około 81 KB
  • Składnik rozprzestrzeniający: "Mplayer.exe", rozmiar około 14 KB (37 KB po rozpakowaniu)
  • Składnik SMTP: "SMTP.ocx", rozmiar około 26 KB (90 KB po rozpakowaniu)

Instalacja

Po uruchomieniu swojego głównego pliku robak instaluje się w systemie, wraz ze wszystkimi swoimi składnikami. Podczas instalacji szkodnik kopiuje swój główny plik ("iLLegGaL.exe") do systemowego folderu Windows. Pozostałe składniki również są umieszczane w tym folderze. Wirus tworzy również w rejestrze systemowym klucz auto-run dla pliku "Mplayer.exe":

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
iLLeGaL = %SystemDir%\Mplayer.exe

Następnie szkodnik wyświetla na ekranie animację flash:

oraz komunikat:

Sorry !
Looooooooool , thanx fo da time u spent thinkin ov me

Rozprzestrzenianie

Robak pobiera adresy "ofiar" z plików HTM, HTML oraz z książki adresowej programu MS Outlook. W celu wysyłania zainfekowanych wiadomości wirus wykorzystuje bezpośrednie połączenie z serwerem SMTP.

Zainfekowane wiadomości wyglądają następująco:

Temat: Fwd: Crazy illegal sex !

Treść wiadomości jest pobierana z losowego pliku zapisanego na dysku C: lub posiada format HTML i tekst:

Note: forwarded message attached.

Do You Yahoo!?
Yahoo! Finance - Get real-time stock quotes

Forwarded Message [ Save to my Yahoo! Briefcase | Download File ]
From: Sara1987@yahoo.com
To: Virgin_gurlz_N_boyz@yahoogroups.com
Date: 24 Aug 2002 17:11:18 -0000
Subject: Fwd: Crazy illegal Sex

Hii

Is it really illegal in da USA?
who knows :P
If u have a weak heart i warn u
DON'T see dis Clip.

Nazwa załącznika: "iLLeGal.exe" lub "illegalSex.zip"

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik.

Funkcje dodatkowe

Robak tworzy nowy klucz (licznik) w rejestrze systemowym:

HKLM\iLLeGal

Licznik ten jest zmniejszany wraz z każdym uruchomieniem robaka i gdy osiągnie wartość 5 szkodnik usuwa wszystkie pliki zapisane na dyskach D:, E:, F: oraz G:, po czym wyświetla komunikat:

ZaCker
No Peace Without war,i hate war but im forced to love it,Hidden Power's gonna b there wherever u r