18 grudnia 2002

I-Worm.Ronoper - instaluje szkodliwe programy

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanej wiadomości. Robak posiada prymitywną procedurę backdoor i może pobierać oraz instalować w zainfekowanym systemie szkodliwe aplikacje. Szkodnik ma postać pliku PE EXE o rozmiarze około 16 KB (po rozpakowaniu około 50 KB) i został stworzony przy pomocy środowiska programistycznego Delphi.

Zainfekowane wiadomości wyglądają następująco:

Temat: Re:
Treść: I Hope you reply me. Thank you very much for reading my msg Bye.
Nazwa załącznika: WinCfg32.exe

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą "WinCfg32.exe" i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinCfg32 = %WinDir%\WinCfg32.exe

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości szkodnik wykorzystuje funkcje MAPI systemu Windows. Robak odpowiada na wiadomości znajdujące się w skrzynkach pocztowych.

Backdoor

Procedura backdoor łączy się z komputerem (znajdującym się w Turcji) i oczekuje na komendy swojego twórcy, który ma możliwość:

  • gromadzenia informacji o zainfekowanym systemie,
  • restartowania zarażonego komputera,
  • przyłączania się do kanałów IRC.

Informacje dodatkowe

Robak pobiera plik EXE ze strony WWW, zapisuje go w folderze TEMP pod nazwą "security.exe" i uruchamia. W ten sposób szkodnik może instalować w zainfekowanym systemie konie trojańskie, backdoory i inne szkodliwe aplikacje.