19 lutego 2004

I-Worm.NetSky.b - wygania Mydooma z systemu

Jest to robak internetowy rozprzestrzeniający się jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 21 KB (kompresja UPX, rozmiar po rozpakowaniu - około 40 KB).

Instalacja

Po uruchomieniu robak wyświetla fałszywy komunikat o wystąpieniu błędu:

The file could not be opened.

Następnie kopiuje się z nazwą services.exe do folderu Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"service" = "%windir%\services.exe -serv"

W celu oznaczenia zainfekowanego komputera robak tworzy w pamięci unikatowy identyfikator AdmSkynetJklS003.

Szkodnik tworzy własne kopie na dyskach od C: do Z: w folderach, których nazwy zawierają słowo share lub sharing. Nazwy kopii są wybierane z poniższej listy:

  • winxp_crack.exe
  • dolly_buster.jpg.pif
  • strippoker.exe
  • photoshop 9 crack.exe
  • matrix.scr
  • porno.scr
  • angels.pif
  • hardcore porn.jpg.exe
  • office_crack.exe
  • serial.txt.exe
  • cool screensaver.scr
  • eminem - lick my pussy.mp3.pif
  • nero.7.exe
  • virii.scr
  • e-book.archive.doc.exe
  • max payne 2.crack.exe
  • how to hack.doc.exe
  • programming basics.doc.exe
  • e.book.doc.exe
  • win longhorn.doc.exe
  • dictionary.doc.exe
  • rfc compilation.doc.exe
  • sex sex sex sex.doc.exe
  • doom2.doc.pif

Dodatkowo robak tworzy własne kopie w formacie ZIP. Ich nazwy wybierane są z poniższej listy:

  • document
  • msg
  • doc
  • talk
  • message
  • creditcard
  • details
  • attachment
  • me
  • stuff
  • posting
  • textfile
  • concert
  • information
  • note
  • bill
  • swimmingpool
  • product
  • topseller
  • ps
  • shower
  • aboutyou
  • nomoney
  • found
  • story
  • mails
  • website
  • friend
  • jokes
  • location
  • final
  • release
  • dinner
  • ranking
  • object
  • mail2
  • part2
  • disco
  • party
  • misc
  • #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

Rozprzestrzenianie

Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • DBX
  • DOC
  • EML
  • HTM
  • HTML
  • MSG
  • OFT
  • PHP
  • PL
  • RTF
  • SHT
  • TBB
  • TXT
  • UIN
  • VBS
  • WAB

W celu wysyłania zainfekowanych wiadomości e-mail szkodnik wykorzystuje własny silnik SMTP.

Zainfekowane wiadomości mogą posiadać różne pola wybierane z poniższych list:

  • Temat:

    • Hi
    • hi
    • hello
    • read it immediately
    • something for you
    • warning
    • information
    • stolen
    • fake
    • unknown

  • Treść:

    • anythingOk?
    • anything ok?
    • what does it mean?
    • ok
    • i'm waiting
    • read the details.
    • here is the document.
    • read it immediately!
    • my hero
    • here
    • is that true?
    • is that your name?
    • is that your account?
    • i wait for a reply!
    • is that from you?
    • you are a bad writer
    • I have your password!
    • something about you!
    • kill the writer of this document!
    • i hope it is not true!
    • your name is wrong
    • i found this document about you
    • yes, really?
    • that is bad
    • here it is
    • see you
    • greetings
    • stuff about you?
    • something is going wrong!
    • information about you
    • about me
    • from the chatter
    • here, the serials
    • here, the introduction
    • here, the cheats
    • that's funny
    • do you?
    • reply
    • take it easy
    • why?
    • thats wrong
    • misc
    • you earn money
    • you feel the same
    • you try to steal
    • you are bad
    • something is going wrong
    • something is fool

Usuwanie robaka Mydoom

Dodatkową funkcją szkodnika jest usuwanie z systemu robaka Mydoom. W tym celu NetSky.b szuka kluczy Explorer oraz Taskmon w następujących gałęziach rejestru:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

i usuwa klucz:

HKCR\CLSID\
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32