14 marca 2003

I-Worm.Cult - uruchamia backdoora

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz w systemie wymiany plików KaZaA. Ma postać pliku PE EXE o rozmiarze około 13 KB (kompresor FSG). Szkodnik wyposażony jest w procedurę backdoor.

Instalacja

Podczas instalacji robak kopiuje się do folderu systemowego Windows z nazwą "winupdate.exe" i tworzy w rejestrze systemowym klucze auto-run:

  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunOnce Microsoft auto update = winupdate.exe
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run Microsoft auto update = winupdate.exe

Dodatkowo szkodnik tworzy w rejestrze klucz służący do przechowywania jego własnych danych:

  • HKLM\SOFTWARE\Microsoft\WDXDriver
    stv1=
    stv2=
    stv3=
    stv4=
    xdvd=

Następnie na ekranie wyświetlany jest następujący komunikat:

Application Error
The instruction at |0x776456de| referenced memory at |0x623525dg3|. The memory could not be |read|
Click on OK to terminate the application

Rozprzestrzenianie - poczta elektroniczna

Zainfekowane wiadomości wyglądają następująco:

Temat: Hi, I sent you an eCard from BlueMountain.com

Treść:

If you have any comments or questions, please visit
http://www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.

Nazwa załącznika: BlueMountaineCard.pif

Robak aktywuje się z zainfekowanej wiadomości e-mail tylko wtedy, gdy użytkownik uruchomi jej załącznik.

Rozprzestrzenianie - system KaZaA

Robak tworzy w folderze systemowym Windows folder "Kazaa" i umieszcza w nim swoje kopie z następującymi nazwami:

  • "SMS_sender.exe"
  • "DivX 5.03 Codecs.exe"
  • "Download accelarator.exe"
  • "PaintShop Pro 7 Crack_By_Force.exe"
  • "ZoneAlarm Pro KeyGen.exe"

Następnie folder "Kazaa" jest rejestrowany jako współdzielony zasób systemu KaZaA.

Procedura backdoor

Robak wyposażony jest w procedurę backdoor, która łączy się z kanałem IRC i oczekuje na jedno z poniższych poleceń hakera:

  • wysyłanie raportu o zainfekowanym systemie;
  • pobieranie pliku z internetu;
  • uruchamianie wskazanego pliku.