12 marca 2003

IRC-Worm.Evion - tworzy pliki tekstowe

Jest to robak rozprzestrzeniający się przez kanały IRC, stworzony przy pomocy języka programowania Visual Basic Script (VBS). Szkodnik zastępuje swoim kodem wszystkie pliki VBS oraz HTML zapisane na lokalnych i sieciowych dyskach.

Instalacja

Po uaktywnieniu robak wykonuje następujące operacje:

 • tworzy swoje kopie - "Win32 Strt.exe.vbs" w folderze głównym dysku C:, "BootLoader.exe.vbs" w folderze systemowym Windows, a także "Jokes.htm" oraz "Winupdate.exe" w folderze Windows;
 • zastępuje swoim kodem następujące pliki:

  • %folder Windows%\Readme.htm;
  • %folder Windows %\Htmlhelp.htm;
  • %folder systemowy Windows %\Winhelp32.exe;
  • %folder Mirc%\script.ini;

 • tworzy w rejestrze systemowym klucze auto-run dla plików "BootLoader.exe.vbs" oraz "Win32 Strt.EXE":

  • HKEY_LOCAL_MACHINE\Microsoft\Windows\
   CurrentVersion\Run - (BootLoader.exe.vbs)
  • HKEY_LOCAL_MACHINE\Software\Microsoft\
   Windows\CurrentVersion\RunServices - (Win32 Strt.EXE)

Rozprzestrzenianie

Robak zastępuje swoim kodem wszystkie pliki VBS, HTM, HTML, ASP, HTX oraz HTA. Ponadto szkodnik umieszcza w pliku "Script.ini" (znajdującym się w folderze programu mIRC) skrypt, który wysyła jego kopię do każdego użytkownika przyłączającego się do zainfekowanego kanału IRC.

Funkcje dodatkowe

Robak aktywuje swoje funkcje dodatkowe 15 października, 23 listopada oraz 25 grudnia. W tych dniach wyświetlane są następujące komunikaty:

my b-day
happy birthday kefi
(15 października)

11/23!
holy sh*t! it's 11/23
(23 listopada)

kefi [rRlf]
Organized religion controls the world
(25 grudnia)

W każdym z tych dni robak tworzy w folderze startowym Windows 16 plików tekstowych. Nazwy tych plików generowane są według szablonu "Startup\Evion(n).txt, gdzie n jest numerem z przedziału od 0 do 15. Wszystkie pliki zawierają 50 wyrazów wybieranych losowo z następującego tekstu:

You've done and gotten your self infected with Vbs.Evion by kefi [rRlf]
[rRlf] ownz joo bitch
Catfish_VX are lamers. This virus was constructed for them to steal

W pozostałe dni robak tworzy na pulpicie Windows plik "%dzień% - %miesiąc%.vir.txt" zawierający następujący tekst:

today you did not experience the payload of Vbs.Evion
sorry..
kefi [rRlf]