I-Worm.Cult - uruchamia backdoora
Instalacja
Podczas instalacji robak kopiuje się do folderu systemowego Windows z nazwą "winupdate.exe" i tworzy w rejestrze systemowym klucze auto-run:
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnce Microsoft auto update = winupdate.exe - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run Microsoft auto update = winupdate.exe
Dodatkowo szkodnik tworzy w rejestrze klucz służący do przechowywania jego własnych danych:
- HKLM\SOFTWARE\Microsoft\WDXDriver
stv1=
stv2=
stv3=
stv4=
xdvd=
Następnie na ekranie wyświetlany jest następujący komunikat:
Application Error
The instruction at |0x776456de| referenced memory at |0x623525dg3|. The memory
could not be |read|
Click on OK to terminate the application
Rozprzestrzenianie - poczta elektroniczna
Zainfekowane wiadomości wyglądają następująco:
Temat: Hi, I sent you an eCard from BlueMountain.com
Treść:
If you have any comments or questions, please visit
http://www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.
Nazwa załącznika: BlueMountaineCard.pif
Robak aktywuje się z zainfekowanej wiadomości e-mail tylko wtedy, gdy użytkownik uruchomi jej załącznik.
Rozprzestrzenianie - system KaZaA
Robak tworzy w folderze systemowym Windows folder "Kazaa" i umieszcza w nim swoje kopie z następującymi nazwami:
- "SMS_sender.exe"
- "DivX 5.03 Codecs.exe"
- "Download accelarator.exe"
- "PaintShop Pro 7 Crack_By_Force.exe"
- "ZoneAlarm Pro KeyGen.exe"
Następnie folder "Kazaa" jest rejestrowany jako współdzielony zasób systemu KaZaA.
Procedura backdoor
Robak wyposażony jest w procedurę backdoor, która łączy się z kanałem IRC i oczekuje na jedno z poniższych poleceń hakera:
- wysyłanie raportu o zainfekowanym systemie;
- pobieranie pliku z internetu;
- uruchamianie wskazanego pliku.