3 stycznia 2003

Worm.Win32.Tulu - zmienia nazwy plików

Jest to robak rozprzestrzeniający się przez sieć lokalną. Ma postać pliku PE EXE o rozmiarze około 63 KB (po rozpakowaniu około 86 KB) i powstał przy pomocy środowiska programistycznego Microsoft Visual C++.

Instalacja

Po uruchomieniu robak kopiuje się do folderu Windows z nazwą "MsKernel32.exe" oraz do systemowego folderu Windows z nazwą "Rundll32.exe". Dla drugiej kopii robak tworzy klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Shell = %SystemDir%\Rundll32.exe

Jednocześnie tworzony jest nowy klucz rejestru posiadający dwie zmienne:

HKLM\Software\Ktulu
App = %WinDir%\MsKernel32.exe
Times = 0

"App" oznacza pierwszą kopię robaka, natomiast "Times" to jego wewnętrzny licznik, zwiększający się wraz z każdym załadowaniem zainfekowanego pliku.

Po wykonaniu powyższych operacji robak przerywa swoje działanie.

Rozprzestrzenianie w sieci lokalnej

Gdy licznik "Times" osiągnie wartość 7 (przykładowo po siedmiokrotnym zrestartowaniu zainfekowanego systemu Windows) robak uaktywnia się i wykonuje następujące operacje:

  • Kopiuje się z nazwą "ktulu.exe" na wszystkie zdalne napędy udostępnione do zapisu.
  • Tworzy w folderze Windows plik o nazwie "normal.dot" zawierający specjalne makroinstrukcje, które aktywują się podczas otwierania dokumentu programu MS Word, zapisanego na dyskietce umieszczonej w napędzie A: lub B:. W takim przypadku robak szuka własnych wpisów w rejestrze systemowym, po czym aktywuje klucz

    HKLM\Software\Ktulu
    App = %WinDir%\MsKernel32.exe

    podczas otwierania i zamykania dokumentu. W rezultacie robak tworzy na dysku dwie kopie, których nazwy wybierane są z listy (patrz poniżej).

  • Nadpisuje wszystkie pliki "dot" zapisane na lokalnych dyskach własną kopią "normal.dot".
  • Dodaje przedrostek "ktulu :)" do nazw pliku "regedit.exe" (znajdującego się w folderze Windows) oraz do wszystkich plików "Msinfo32.exe" zapisanych na lokalnych dyskach.
  • Podejmuje próbę skopiowania się z nazwą "autorun.exe" na wszystkie dostępne dyski CD-ROM oraz dodania do pliku "autorun.inf" (znajdującego się na płycie CD-ROM) komendy uruchamiającej jego kopię.
  • Kopiuje się na wszystkie wirtualne napędy (ramdyski) z nazwami wybieranymi z poniższej listy:

    Ktulu.exe, Oficios.exe, Chistes.exe, Porno.exe, Codigos.exe, Informes.exe, Reportes.exe, Escuela.exe, Trabajos.exe, Nora.exe, Juegos.exe, Passwords.exe, Claves.exe, Documentos.exe, Datos.exe, Demo.exe, Avisos.exe, Textos.exe, Trucos.exe, Notas.exe

  • Gdy licznik "Times" osiągnie wartość 13 robak dodaje przedrostek "Ktulu :)" do następujących plików zapisanych w folderze Windows:

    • \Command\Ebd\Autoexec.bat
    • \Command\Ebd\Ebd.cab
    • \Command\Ebd\Fdisk.exe
    • \Command\Ebd\Setramd.bat
    • \Command\Scanreg.exe
    • \Command\Mscdex.exe
    • \Command\Format.com
    • \Command\Edit.com
    • \Command\Sys.com
    • \Command\Bootdisk.bat
    • \Command\Attrib.exe
    • \Command\Deltree.exe

  • Gdy licznik osiągnie wartość 15 lub większą robak zmienia rozszerzenia wszystkich plików CPL zapisanych w folderze Windows na PNL i modyfikuje ich atrybuty na "ukryty", "systemowy" i "tylko do odczytu".
  • Gdy licznik osiągnie wartość 100 lub większą robak tworzy w głównym folderze każdego, lokalnego dysku plik o nazwie "leame.vbs". Zawiera on skrypt VBS, w którym zapisana jest następująca sygnatura autora:

    Leame con Atenciyn

    Virus: W32/Ktulu
    Autor: Anynimo
    Origen: Mexico
    Fecha: 24 Julio 2001
    PD: Carpe Diem, Everyday