3 marca 2003

IRC-Worm.Blackout - utrudnia zamykanie systemu Windows

Jest to robak rozprzestrzeniający się przez kanały IRC. Ma postać dokumentu programu MS Word posiadającego jedno makro o nazwie Blackout.

Instalacja

Po uruchomieniu robak wykonuje następujące operacje

  • dodaje wartość "Level 1" do klucza rejestru systemowego:

    HKEY_CURRENT_USER\Software\Microsoft\Office\
    9.0\Word\Security
    ;

  • podejmuje próbę dezaktywacji gałęzi Zabezpieczenia znajdującej się w menu Makro programu MS Word;
  • tworzy w głównym folderze dysku C: pliku "blackout.vxd", w którym znajduje się kod robaka. Plik ten jest wykorzystywany do infekowania dokumentów zapisanych w folderze C:\Moje dokumenty;
  • tworzy w głównym folderze dysku C: plik "blackout.vbs" i rejestruje go w kluczu auto-run:

    HKEY_LOCAL_MACHINE\Microsoft\Windows\
    CurrentVersion\Run
    ;

  • dodaje wartość ppacket "by pickpacket" do klucza rejestru:

    HKEY_LOCAL_MACHINE\Software\Blackout;

  • kopiuje się do pliku C:\Readme.txt.doc.

Rozprzestrzenianie

Robak szuka pliku "Mirc32.exe" w folderach C:\Mirc oraz C:\Progra~1\Mirc i podejmuje próbę zastąpienia swoim kodem znajdującego się tam pliku "Script.ini". Zmodyfikowany w ten sposób skrypt wysyła plik C:\Readme.txt.doc do wszystkich użytkowników przyłączających się do zainfekowanego kanału.

Funkcja dodatkowa

O godzinie 0 lub 23 robak wyświetla poprzez asystenta Microsoft Office następujący komunikat:

W97M/Blackout
This goes out to the people in the power companies!!!

i zmienia wartość "NoClose" w kluczu rejestru:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer

czego rezultatem jest ukrycie elementu "Zamknij" z menu Start systemu Windows.