5 grudnia 2003

I-Worm.Lentin.v - blokuje dostęp do stron WWW

Jest to robak internetowy rozprzestrzeniający się za pośrednictwem poczty elektronicznej. Powstał przy użyciu środowiska programistycznego Visual C++ i ma postać pliku PE EXE o rozmiarze około 60 KB (kompresja UPC, rozmiar po rozpakowaniu - około 478 KB).

Lentin.v zakłóca funkcjonowanie programów antywirusowych oraz przeprowadza ataki DoS na kilku adresach IP. Dodatkowo szkodnik modyfikuje pliki Hosts oraz Lmhosts znajdujące się w folderze Windows. W rezultacie użytkownik zainfekowanego komputera nie może otwierać następujących stron WWW:

  • www.symantec.com;
  • www.microsoft.com;
  • www.sophos.com;
  • www.avp.ch;
  • www.mcafee.com;
  • www.trendmicro.com;
  • www.pandasoftware.com;
  • www3.ca.com;
  • www.ca.com.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje własny serwer SMTP. Szkodnik wykorzystuje także dodatkowe drogi atakowania komputerów - współdzielone zasoby sieciowe oraz sieć wymiany plików KaZaA.

Załączniki zawierające kod robaka mogą posiadać następujące rozszerzenia:

  • COM,
  • EXE,
  • ZIP.

Zainfekowane wiadomości e-mail posiadają losowe tematy i treści.

Szkodnik wysyła swoje pod adresy znalezione w następujących źródłach:

  • książka adresowa Windows,
  • MSN Messenger,
  • NET Messenger,
  • Yahoo Pager.

Instalacja

Infekcja komputera następuje gdy użytkownik uruchomi zainfekowany załącznik. Robak kopiuje się do folderu Windows z następującymi nazwami:

  • MSUPDAT.EXE,
  • MSEXEC.EXE.

Ponadto szkodnik dodaje modyfikuje następujące klucze auto-run rejestru systemowego:

  • HKEY_LOCAL_MACHINE\SOFTWARE\
    Microsoft\Windows\CurrentVersion\Run\
    ;
  • HKEY_LOCAL_MACHINE\SOFTWARE\
    Microsoft\Windows\CurrentVersion\RunServices
    .

W rezultacie wraz z każdym startem systemu operacyjnego uruchamiany będzie plik wykonywalny robaka - msesec.exe.