22 grudnia 2003

I-Worm.Belgur.b - wyposażony w backdoora

Jest to robak rozprzestrzeniający się poprzez internet jako załącznik zainfekowanej wiadomości e-mail oraz za pośrednictwem sieci lokalnych. Ma postać pliku PE EXE o rozmiarze około 20 KB (kompresja UPX, rozmiar po rozpakowaniu - około 36 KB) i powstał przy użyciu środowiska programistycznego Microsoft Visual C++.

Pola zainfekowanych wiadomości mogą zawierać różne teksty - patrz poniżej.

Od:

  • Microsoft 
  • Terrorist George W. Bush 
  • Terrorist Ariel Sharon 
  • careless 
  • media 
  • Rumsfeld 
  • Maybank 
  • condemn 
  • Bin Laden 
  • BushScare 

Temat:

  • Hi!
  • Bad news!
  • Free porn!
  • Report!
  • Hack me!
  • Bussiness
  • News!
  • Warning!
  • hello
  • Buy 1 Free 2
  • Need help!
  • plz!
  • Re:
  • great!
  • you are!
  • Your resume
  • Update
  • Spend Money
  • Too easy
  • oh wow
  • nice job!
  • High security
  • Command line\
  • Create own disk
  • keep the File
  • Help Section
  • Unknown Header
  • Possible Word
  • My Webs
  • Protokol
  • Compress Sample
  • Sensitive Name
  • Deliver
  • System Error
  • microsoft
  • installer
  • personal info
  • sample music
  • internet proxy

Treść wiadomości - pusta lub jedna z poniższych:

  • check your attachment now!
  • Hey! It's that what you want! 
    I hope so! Check the  file first then 
    reply back if you have problem!
    Alex Pravoks
  • For the truth of love! I have 
    suprise to you! Please baby forgive me!
    Ronn Elika
  • Oh my god! It's that you! Helo! 
    Helo! So, this is gift for christmas day!
    Orlian Jieg
  • Hello friend,
    I have a problem here. I have encrypt the 
    file that contain my message problem. 
    The password is 'helpx'. 
    Plz reply back!
  • A message you have received has 
    been converte to an attachment. I sorry 
    cause that problem. 

Nazwa załącznika jest wybierana losowo spośród następujących możliwości:

  • scr
  • pif
  • exe
  • com
  • bat

W celu uruchomienia się z zainfekowanych wiadomości robak wykorzystuje lukę IFRAME.

Instalacja

Robak kopiuje się z losową nazwą do folderu systemowego Windows i tworzy dla tej kopii klucz auto-run w rejestrze systemowym.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • TXT
  • MHT
  • HTM
  • HTML
  • EML
  • JSE
  • ASP
  • DBX
  • MBX
  • MMF
  • TBB
  • NCH
  • ODS
  • VCF
  • WAB

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje własny silnik SMTP.

Rozprzestrzenianie - sieć lokalna

Robak kopiuje się do współdzielonych lokalizacji sieciowych oraz do wszystkich dysków logicznych. Nazwy kopii to setup lub installer. Szkodnik może także tworzyc nazwy losowe i wykorzystuje następujące rozszerzenia:

  • scr
  • pif
  • exe
  • com
  • bat

Informacje dodatkowe

Robak wyposażony jest w procedurę backdoor, która umożliwia hakerowi zdalne tworzenie, usuwanie oraz zmienianie nazw plików i folderów, a także uruchamianie poleceń na zainfekowanym komputerze.

Szkodnik podejmuje próby zamykania aktywnych programów antywirusowych oraz zapór ogniowych.

W kodzie robaka zapisany jest tekst:

W32.Narita