10 marca 2003

Worm.Win32.Deloder - instaluje dwa backdoory

Jest to robak rozprzestrzeniający się w sieciach lokalnych Win32. Ma postać pliku PE EXE ("Dvldr32.exe") o rozmiarze około 746 KB (kompresor ASPack) i został stworzony przy użyciu środowiska programistycznego Microsoft Visual C++. Szkodnik instaluje na zainfekowanych komputerach dwa backdoory.

Podczas rozprzestrzeniania szkodnik umieszcza swoją kopię w jednym z folderów systemu operacyjnego Windows. Po uruchomieniu tej kopii następuje utworzenie klucza auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
messnger = {nazwa pliku robaka}

oraz uruchomienie procedury rozprzestrzeniającej.

Rozprzestrzenianie

Robak uruchamia do 512 wątków skanujących port 445 przy użyciu generowanych losowo adresów IP. W przypadku nawiązania połączenia szkodnik wyszukuje udostępnione zasoby sieciowe i korzystając z lity 85 haseł podejmuje próbę ich otwarcia. Po uzyskaniu dostępu do zasobu robak umieszcza na nim swoją kopię i uruchamia ją.

Backdoory

Robak zapisuje na dysku zainfekowanego komputera i uruchamia plik "inst.exe", który instaluje w folderze zawierającym czcionki dwa backdoory:

  • rundll32.exe - "Backdoor.Tsunami.c";
  • explorer.exe - narzędzie zdalnej administracji WinVNC;

oraz tworzy dla nich klucze auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Explorer = %folder Windows%\Fonts\explorer.exe
TaskMan = %folder Windows%\Fonts\rundll32.exe

Dodatkowo podczas instalacji robak tworzy trzy tymczasowe pliki:

  • cygwin1.dll - w folderze systemowym Windows;
  • VNCHooks.dll, omnithread_rt.dll - w folderze zawierającym czcionki.