18 kwietnia 2003

I-Worm.Mintal - nęka użytkowników programu TheBat!

Jest to wieloskładnikowy robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Działa wyłącznie na komputerach z zainstalowanym programem pocztowym TheBat!. Szkodnik powstał przy pomocy środowiska programistycznego Delphi.

Robak składa się z następujących elementów:

  • install.exe lub hwminstall.exe - "instalator" robaka, rozmiar około 310 KB (kompresja ASPack, rozmiar po rozpakowaniu około 760 KB),
  • insthwm.dll - główny składnik robaka, rozmiar około 650 KB,
  • SVSHOST.EXE - koń trojański odpowiedzialny także za rozprzestrzenianie robaka, 490K of size.
  • hwmdll.dll - program przechwytujący teksty wpisywane z klawiatury zainfekowanego komputera, rozmiar około 41 KB.

Po uruchomieniu robaka aktywowany jest "instalator", który tworzy folder \hwminstall w folderze systemowym Windows i umieszcza w nim swoją kopię o nazwie "install.exe". Następnie w folderze systemowym Windows tworzony jest składnik "insthwm.dll". Szkodnik tworzy dla swoich składników następujące klucze w rejestrze systemowym:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    hwm = %ŻŽŤŽĄ ¨ď ä ŠŤ install.exe%;
  • HKLM\Software\Microsoft\Windows\CurrentVersion\
    ShellServiceObjectDelayLoad
    Tray = {00000003-0001-0003-0003-000000000007};
  • HKCR\CLSID\{00000003-0001-0003-0003-000000000007}\
    InProcServer32 {Default} = insthwm.dll.

Po uruchomieniu składnika "insthwm.dll" w folderze systemowym Windows tworzone są kolejne dwa pliki: "SVSHOST.EXE" oraz "hwmdll.dll" i następuje aktywacja modułu "SVSHOST.EXE".

Składnik "SVSHOST.EXE" wykonuje następujące czynności:

  1. Pobiera adresy "ofiar" z bazy danych programu TheBat! W celu wysyłania zainfekowanych wiadomości e-mail szkodnik wykorzystuje własny protokół SMTP oraz serwer pocztowy smtp.bk.ru. Pola zainfekowanych wiadomości zawierają rosyjskie teksty, natomiast nazwa załączonego pliku to "install.exe".
  2. Przechwytuje teksty wpisywane z klawiatury przez użytkownika i wysyła je do swojego twórcy. Pod ten sam adres wysyłane są również dane pobrane z folderu komunikatora ICQ.
  3. Pobiera ze strony WWW i uruchamia własne "uaktualnienia".

Dodatkowo robak tworzy w folderze systemowym Windows pliki ”hwm.txt” oraz ”hwmicq.txt” i zapisuje w nich własne dane.