5 grudnia 2003

Win32.HLLW.Ayubin - wyposażony w konia trojańskiego

Jest to robak-wirus posiadający postać pliku wykonywalnego działającego w systemach Windows 95/98/Me. Szkodnik ma rozmiar około 170 KB (kompresja UPX, rozmiar po rozpakowaniu - około 430 KB) i powstał przy użyciu środowiska programistycznego Delphi.

Instalacja

Po pierwszym uruchomieniu robak kopiuje się do folderu Windows i rejestruje tę kopię w sekcji boot pliku system.ini:

[boot]
shell=Explorer.exe %nazwa pliku robaka% 

Rozprzestrzenianie

W jednominutowych odstępach robak podejmuje próby kopiowania się z nazwą Las_Porno_del _CBTIS.jpg.exe na nośnik umieszczony w napędzie A:.

Procedura konia trojańskiego

Szkodnik wyposażony jest w procedurę, która informuje hakera o adresie IP zainfekowanego komputera, otwiera określony wcześniej port TCP i oczekuje na zdalne polecenia. Haker może przy użyciu robaka wykonywać następujące operacje na zainfekowanym komputerze:

  • pobieranie haseł systemowych przy użyciu funkcji WnetEnumCachedPasswords,
  • aktywowanie oraz dezaktywowanie funkcji przechwytującej znaki wpisywane z klawiatury,
  • pobieranie danych zgromadzonych przez powyższą funkcję,
  • usuwanie robaka z zainfekowanego systemu.