11 czerwca 2003

I-Worm.Magold - zmienia kolory okien

Jest to robak rozprzestrzeniający się przez internet jako załącznik wiadomości e-mail, za pośrednictwem kanałów IRC, sieci lokalnej oraz systemów P2P. Ma postać pliku PE EXE o rozmiarze około 241 KB (kompresja UPX, rozmiar po rozpakowaniu około 650 KB) i powstał przy użyciu środowiska programistycznego Borland C++. Szkodnik działa wyłącznie w systemach Windows NT/2000/XP.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwami "raVe.exe" oraz "Maya i tworzy w rejestrze systemowym następujące klucze auto-run:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    raVe = %Folder Windows%\raVe.exe
  • HKLM\SOFTWARE\Classes\exefile\shell\open\command
    @=%Folder Windows%\raVe.exe \"%1\" %*"
  • HKLM\SOFTWARE\Classes\comfile\shell\open\command
    @=%Folder Windows%\raVe.exe \"%1\" %*"
  • HKLM\SOFTWARE\Classes\batfile\shell\open\command
    @=%Folder Windows%\raVe.exe \"%1\" %*"
  • HKLM\SOFTWARE\Classes\piffile\shell\open\command
    @=%Folder Windows%\raVe.exe \"%1\" %*"
  • HKLM\SOFTWARE\Classes\scrfile\shell\open\command
    @=%Folder Windows%\raVe.exe \"%1\" %*"

Dodatkowo robak tworzy w folderze Windows katalog "\raVe" i zapisuje w nim własną kopię "Maya Gold.scr". Katalog ten jest następnie rejestrowany jako folder współdzielony systemu wymiany plików KaZaA:

HKCU\Software\Kazaa\Transfer
DlDir0 = %Folder Windows%\raVe

Szkodnik tworzy także kilka kluczy rejestru i wykorzystuje je dla własnych potrzeb:

HKLM\Software\raVe\
beepul
halozat
irc

Po zakończeniu instalacji robak wyświetla na ekranie fałszywy komunikat o wystąpieniu błędu:

DirectX
DirectX Error!
Address:0002R1A9V8E52000

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP. Kontakty potencjalnych ofiar pobierane są z książki adresowej Windows (plik WAB) oraz z plików posiadających rozszerzenie HTML.

Zainfekowane wiadomości e-mail wyglądają następująco:

  • Od: erotika@lap.hu,
  • Temat: Maya Gold-os kepernyokimelo!,
  • Nazwa załącznika: Maya Gold.scr,
  • Treść: tekst w języku węgierskim.

Robak aktywuje się z zainfekowanej wiadomości e-mail tylko wtedy, gdy użytkownik uruchomi załącznik.

Rozprzestrzenianie - sieć oraz dyskietki

Robak umieszcza własne kopie na wszystkich dyskach sieciowych udostępnionych do zapisu. W celu uruchomienia swojej kopii na atakowanym komputerze robak umieszcza odpowiedni wpis w zdalnym pliku "Autorun.inf":

open=Maya Gold.scr

Dodatkowo szkodnik kopiuje się z nazwą "Maya Gold.scr" na dyskietkę umieszczoną w napędzie A:.

Rozprzestrzenianie - kanały IRC

Szkodnik atakuje foldery należące do dwóch klientów IRC zapisując w nich skrypty wysyłające jego kopię (plik "Maya Gold.scr") do wszystkich użytkowników przyłączających się do zainfekowanego kanału IRC:

  • script.ini - w przypadku klienta mIRC,
  • events.ini - w przypadku klienta Pirch.

Rozprzestrzenianie - sieci P2P

Robak kopiuje się z nazwą "Maya Gold.scr" do folderów współdzielonych następujących systemów P2P - Bearshare, Edonkey, Gnucleus, Grokster, Kazaa, Limewire, Morpheus oraz Shareaza.

Dodatkowo szkodnik tworzy własną kopię w folderze "ICQ\Shared Folder".

Funkcje dodatkowe

Szkodnik wykonuje następujące operacje:

  • pobiera własne uaktualnienia ze strony WWW,
  • w zależności od pewnych kryteriów otwiera stronę http://www.offspring.com,
  • podejume próbę zamykania aktywnych procesów antywirusowych,
  • zmienia kolory okien aktywnych aplikacji,
  • blokuje kursor myszy,
  • tworzy na pulpicie wiele pustych plików "raVe%%%.txt",
  • zmienia nagłówki okien aktywnych aplikacji na:
    =:-) OFFSPRING is coOL =:-) PUNK'S NOT DEAD =:-),
  • wysyła do drukarki następujący tekst:

    SEGITS NEKEM!!!

    En a nyomtato vagyok, es arra szeretnelek megkerni, hogy beszelj mar a Windows-zal, mert ez mar nem allapot!!
    Allandoan a hulye kerdeseivel, kereseivel zaklat, 'Van meg lapod?', 'Tudsz szinesen nyomtatni?', 'Ezt most fektetve szeretnem!', 'Keszen allsz mar?'.
    Gondolom te is egyetertesz velem, hogy ez igy nem mehet tovabb! Valamit tenni kell!

    UDVOZLETTEL MEGERTO ES SEGITOKESZ BARATOD: A NYOMTATO

    PUNK'S NOT DEAD =:-) =:-) =:-)

W kodzie szkodnika zaszyfrowany został następujący tekst:

AZERT SEM KOSZONOK BE BE BE! SOT! EBBEN SINCS KOSZONET! ---
raVe-1-areWera