30 kwietnia 2003

I-Worm.Fasong - wyposażony w konia trojańskiego

Jest to robak rozprzestrzeniający się przez sieć lokalną. Ma postać pliku PE EXE o rozmiarze około 170 KB i został stworzony przy użyciu środowiska programistycznego Delphi.

Instalacja

Podczas instalacji robak kopiuje się do losowo wybieranych folderów i dysków, z losową nazwą posiadającą rozszerzenie EXE, przykładowo: GMLKU.EXE, TKXMLIB.EXE, LUFV.EXE. Następnie szkodnik tworzy w rejestrze systemowym klucze auto-run dla swoich kopii:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
%losowa nazwa%.EXE = %losowa nazwa%.EXE

Robak modyfikukje także inne klucze rejestru:

  • HKCR\chm.file\shell\open\command (wartość domyślna = "hh.exe" %1)
  • HKCR\exefile\shell\open\command (wartość domyślna = "%1 %*")
  • HKCR\inifile\shell\open\command (wartość domyślna = "notepad.exe %1")
  • HKCR\regfile\shell\open\command (wartość domyślna = "regedit.exe %1")
  • HKCR\scrfile\shell\open\command (wartość domyślna = "%1 /S")
  • HKCR\txtfile\shell\open\command (wartość domyślna = "notepad.exe %1")

Rozprzestrzenianie

Robak kopiuje się z losowymi nazwami (rozszerzenie EXE) do wszystkich dysków lokalnych oraz sieciowych. W celu uruchomienia się na zdalnym komputerze szkodnik tworzy w folderze głównym atakowanego dysku sieciowego plik "autorun.inf" i zapisuje w nim polecenie "[autorun], OPEN=".

Koń trojański

W kodzie robaka znajduje się koń trojański pobierający informacje osobiste z komunikatora ICQ oraz z kilku chińskich programów i wysyła je za pośrednictwem wiadomości e-mail do swojego twórcy.

Informacje dodatkowe

Robak przechowuje własne informacje w następującym kluczu rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\win70

Szkodnik podejmuje próby zamykania procesów programów antywirusowych oraz zapór ogniowych.

Ponadto robak szuka w zainfekowanym systemie pliku "Msread.dt" i pobiera z niego własne ustawienia.