31 stycznia 2003

Worm.P2P.Cassidy - 14 lutego 2003 usuwa pliki

Jest to robak internetowy rozprzestrzeniający się przy użyciu sieci wymiany plików KaZaA. Działa w systemach Win32, ma postać pliku PE EXE o rozmiarze około 205 KB i został stworzony przy pomocy środowiska programistycznego MS Visual C++.

Po uruchomieniu zainfekowanego pliku robak instaluje się w systemie kopiując się do folderu Windows z nazwą "CassieWorm.exe" oraz tworząc dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CassieWorm = %WindowsDir%\CassieWorm.exe

Dodatkowo robak wyświetla fałszywy komunikat o wystąpieniu błędu:

WinZip Self-Extractor
Bad CRC checksum, terminating extraction.
If the file was downloaded please download it again.

Aby robak mógł się rozprzestrzeniać na zainfekowanym komputerze musi być zainstalowany klient sieci KaZaA. Szkodnik dokonuje następujących modyfikacji tego środowiska:

  • tworzy współdzielony podkatalog w folderze Windows,
  • rejestruje go jako współdzielony folder sieci KaZaA tworząc nowe klucze:

    HKCU\Software\Kazaa\LocalContent
    Dir0 = "012345:%WindowsDir%\Shared Folder"
    DisableSharing = 0

  • wyszukuje wykonywalny plik programu KaZaA odczytując klucz rejestru:

    HKLM\SOFTWARE\Kazaa\CloudLoad
    ExeDir = %KazaaExeDir%

  • rejestruje ten plik w kluczu auto-run:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    KAZAA = "%KazaaExeDir%\Kazaa.exe /SYSTRAY"

  • zapisuje swoje kopie w folderze "Shared Folder" z następującymi nazwami:

    • warcraft 3 maphack.exe
    • counterstrike hack pack.exe
    • diablo 2 pindlebot.exe
    • diablo 2 maphack.exe
    • playstation 2 emulator fanix.exe
    • kazaa participation hack.exe
    • cable modem ultility pack.exe
    • winzip full version key generator.exe
    • jamella's diablo 2 editor.exe
    • winamp plugin pack.exe
    • pop-up killer.exe
    • email forger.exe
    • aim utilities.exe
    • serials 2k.exe
    • macromedia dreamweaver key generator.exe
    • windows xp key generator.exe
    • grand theft auto 3 key generator.exe
    • hacking utilities.exe

Po zakończeniu instalacji robak wysyła wiadomość e-mail do swojego twórcy (pod adres "cassieworm@hotmail.com"). Temat wiadomości to "CassieWorm infected", natomiast jej treść zawiera informacje rejestracyjne i adres sieciowy zainfekowanego komputera oraz bieżącą datę i czas systemowy. Treść ta wygląda następująco:

CassieWorm infected on system:
IP:
Host Name:
Registered User:
Infected To:
Local Time:
Time Until Destruct:

Funkcje dodatkowe

14 lutego 2003 o godzinie 7:20 robak usuwa wszystkie pliki zapisane na wszystkich dostępnych twardych dyskach.