5 lipca 2001

I-Worm.Naver - udaje uaktualnienie systemu Windows

Jest to robak internetowy rozprzestrzeniający się przy użyciu programu MS Outlook. Szkodnik ma postać uruchamialnego pliku o rozmiarze około 50 kB napisanego w języku programowania Visual Basic.

Po uruchomieniu wirus wyświetla okno:

Gdy użytkownik wciśnie przycisk "OK" szkodnik wyświetla informację

Następnie, podobnie jak po wciśnięciu przycisku "Cancel" robak instaluje się w systemie. Kopiuje się do katalogu Windows z nazwą WINSYS.EXE oraz do katalogu systemowego Windows z nazwą WINSYS.EXE. Drugi plik jest umieszczany w sekcji auto-run rejestru systemowego:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run WLWin = %windir%\WINSYS.EXE

Ponadto robak tworzy dodatkowy klucz służący do oznaczania zainfekowanych komputerów:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion WLKey = 1

W katalogu systemowym Windows wirus tworzy również plik NAVER.TXT i zapisuje do niego tekst wykorzystywany w treści zainfekowanych wiadomości (patrz poniżej).

Następnie robak łączy się z książką adresową programu MS Outlook i wysyła zainfekowane wiadomości do użytkowników w niej zapisanych. Wiadomości wyglądają następująco:

Temat: Re: Windows Upgrade
Treść:

Use this patch!!, goodbye

From: "Micosoft upgrades" To: "Windows users" Subject: Upgrade Date: Mon, 11 Jun 2001 11:02:34 +0200

Microsoft programs bugs that are costantly found, are immediately often solved by little patches, that are regulary pubblished on the official site, but despite this only few users use this patches. Because of this a lot of users consider Microsoft systems unsecure, you can solve all the problems at base, upgrading costantly the system, because of this MicrosoftŽ decided to exploit FAQ mail to reach the majority of users. By FAQ mail you have recived it, that contain the first upgrade, naver.exe file (Upgrade 11 Jun 2001), an upgrade that is used for increase security of Windows system protocol TCP/IP problems and for SSL (Secure Sockets Layer) secure system exploration. For a correct operation copy naver.exe in c: and run it

Forward this mail at your friends with the relative attachment or if you don't want to receive any other upgrades send an empty mail to deletelist@microsoft.com with subject "Delete from database".

We thank in advance all the users that will agree the project.

Answerable MicrosoftŽ Upgrades John Milton http://www.microsoft.com/security/

Nazwa załączonego pliku: NAVER.EXE

W pewnych przypadkach (najprawdopodobniej w zależności od daty systemowej) robak usuwa swoje klucze rejestru oraz pliki i wyświetla wiadomość:

VIRUS !!!!!!!!!!!
Virus Eclisse has infected
Don't try to close the counter before zero otherwise it will be restarted, the system will be released only when the countdown counts zero.

Now you are able to use your computer, this Virus automatically delete itself, byez. ( Translation by M_O_R_B_O )