10 lipca 2003

Worm.Naliv - atakuje w sieciach lokalnych

Jest to robak rozprzestrzeniający się przez sieć lokalną oraz globalną. Ma postać aplikacji Win32 (pliku PE EXE) o rozmiarze około 12 KB i powstał przy użyciu środowiska programistycznego Borland C++.

Po uruchomieniu robak kopiuje się do folderu systemowego Windows. Nazwa kopii szkodnika jest taka sama jak nazwa pliku, z którego został uruchomiony. Następnie robak tworzy klucz auto-run w rejestrze systemowym:

HKLM\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NAV Live Update = %nazwa pliku robaka%

W celu rozprzestrzeniania się robak generuje w nieskończonej pętli losowe numery IP i próbuje nawiązywać z nimi połączenie. Jeżeli wykryty zostanie komputer z dyskiem udostępnionym do zapisu szkodnik umieszcza na nim swoje kopie w następujących folderach (jeżeli istnieją):

  • \C$\Documents and Settings\All Users\Start Menu\Programs\Startup,
  • \C\WINDOWS\Start Menu\Programs\Startup,
  • \C$\WINNT\All Users\Start Menu\Programs\Startup.

Wykonywalny plik robaka wymaga do uruchomienia obecności biblioteki borlndmm.dll będącej składnikiem kompilatora Borland Delphi oraz Borland C++.