11 czerwca 2004

Worm.P2P.Harex.c - wykorzystuje sieci P2P

Jest to robak rozprzestrzeniający się za pośrednictwem sieci P2P. Znany jest również jako Exebat. Szkodnik ma rozmiar około 2 KB (kompresja FSG, rozmiar po rozpakowaniu - około 17 KB).

Instalacja

Po uruchomieniu robak tworzy w folderze systemowym Windows folder sys32 i zapisuje w nim własne kopie z następującymi nazwami:

All Adobe Products Keygen.exe
All Macromedia Products Keygen.exe
All Microsoft Products Keygen.exe
BurnDvds.exe
Divx Pro 5.1 Serial.exe
Dvd Plus Crack.exe
Dvd Ripper.exe
Dvd To Vcd.exe
Dvd Wizard Pro Crack.exe
Dvd Xcopy Crack.exe
DvdCopyOne Crack.exe
DvdToVcd Crack.exe
Easy Dvd creator Crack.exe
Easy Dvd Ripper.exe
EZ Dvd Ripper.exe
Nero Burning Rom Crack.exe
Nimo Codec Pack Updater.exe
Xvid Codec Installer.exe

Folder ten jest następnie rejestrowany w następujących kluczach:

[HKCU\Software\Kazaa\LocalContent]
[HKCU\Software\Kazaa\Transfer]
"dir0"="012345:%Folder Windows%\system\sys32"

[HKCU\Software\iMesh\Client\LocalContent]
"dir0"="012345:%Folder Windows%\system\sys32"

Informacje dodatkowe

Robak pobiera z internetu plik, zapisuje go w folderze głównym dysku C jako autoexec.bat.Exe i uruchamia.