4 sierpnia 2003

Worm.P2P.Gotorm - szpieguje w rejestrze systemowym

Jest to robak rozprzestrzeniający się w systemie wymiany plików KaZaA. Dodatkowo szkodnik gromadzi dane o niektórych grach zainstalowanych na zainfekowanym komputerze. Robak ma postać aplikacji systemu Windows (plik PE EXE) o rozmiarze 196 608 bajtów i powstał przy użyciu środowiska programistycznego Microsoft Visual C++.

Instalacja

Podczas instalacji robak wyświetla na ekranie następujące, fałszywe komunikaty:

WinZip Self-Extractor
WinZip Self-Extractor header corrupt. 
Possible cause : bad disk or file transfer  error. 

Następnie szkodnik umieszcza w folderze Windows własną kopię o nazwie mrowyekdc.exe i tworzy klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SVCHOST = %WindowsDir%\mrowyekdc.exe
.

Rozprzestrzenianie

Robak tworzy w folderze Windows własny katalog User Files i zapisuje w nim własne kopie posiadające następujące nazwy:

  • Starcraft +,
  • Broodwar 1.10 map hack.exe,
  • Starcraft + Broodwar 1.10 no-cd hack.exe,
  • Diablo 2 map hack.exe,
  • Diablo 2 no-cd hack.exe,
  • Jamella's Diablo 2 hero editor.exe,
  • Warcraft 3 map hack.exe,
  • Warcraft 3 stat hack.exe,
  • Warcraft 3 no-cd hack.exe,
  • Warcraft 3 Frozen Throne map hack.exe,
  • Warcraft 3 Frozen Throne cd-cd hack.exe,
  • The Frozen Throne map hack.exe,
  • Counterstrike hacks.exe,
  • Counterstrike aim hack.exe.

Następnie folder szkodnika jest rejestrowany jako zasób współdzielony systemu KaZaA:

HKCU\Software\Kazaa\LocalContent
dir0 = 012345:%Windir%\User Files
DisableSharing = "0
.

Funkcje szpiegowskie

Robak szuka w rejestrze systemowym wpisów związanych z popularnymi grami komputerowymi (Counter Strike, Diablo, Warcraft, Starcraft) i wysyła je do hakera za pośrednictwem połączenia z serwerem SMTP.

Informacje dodatkowe

Robak sprawdza datę i czas systemowy. Jeżeli szkodnik został uruchomiony przed sierpniem zawiesza swoją działalność i usuwa utworzone przez siebie wpisy z rejestru systemowego.