6 sierpnia 2001

I-Worm.Totilix - nadpisuje pliki EXE

Jest to bardzo niebezpieczny robak internetowy rozprzestrzeniający się w wiadomościach e-mail. Po uruchomieniu szkodnik nadpisuje swoją kopią wszystkie pliki EXE zapisane w katalogu Windows, z wyjątkiem EMM386.EXE, SETVER.EXE oraz plików, które są uruchomione lub chronione przez system operacyjny (przykładowo EXPLORER.EXE).

Robak rejestruje w systemie swój plik aby uruchamiać się wraz z każdym startem Windows (powód tej rejestracji nie jest znany - po nadpisaniu przez wirusa plików EXE system nie uruchomi się już w ogóle). Szkodnik tworzy nowy klucz auto-run w rejestrze systemowym:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run RunAVUpdate = "nazwa pliku robaka"

gdzie "nazwa pliku robaka" jest nazwą pliku, z którego wirus został uruchomiony.

Ponadto robak tworzy klucz "identyfikacyjny":

HKEY_LOCAL_MACHINE\Software\Microsoft\AVUpdte\Install

który informuje go, że system jest już zainfekowany i tym samym nie jest konieczne nadpisywanie plików oraz wysyłanie zarażonych wiadomości.

Rozprzestrzenianie

Robak nie pobiera adresów ofiar z książki adresowej programu MS Outlook jak robią to inne szkodniki tego typu, lecz nakłania użytkownika do wyboru adresu użytkownika, do którego wysłana zostanie zainfekowana wiadomość wyświetlając fałszywy komunikat:

AV Intelligent Updater
Please select email address to send at your friend
Select email address with 'a' only not with 'A'
[OK]

Następnie szkodnik przy użyciu funkcji MAPI uruchamia klienta pocztowego, aktywuje jego książkę adresową, oczekuje na wybór użytkownika i wysyła zainfekowane wiadomości pod wskazane adresy. Wiadomość wygląda następująco:

Temat: Virus Alert Update: New VBS.LoveLetter Threat
Treść:

Hi Friend,
This mail contains a new AV intelligent updater for all antivirus.
To install it, execute the attachment file
if you have any problem, send mail at antivirus@hotmail.com

Nazwa załączonego pliku jest taka sama jak nazwa pliku, z którego robak został uruchomiony.

Jeśli podczas wybierania adresu lub wysyłania wiadomości wystąpi błąd, robak usuwa wszystkie pliki zapisane w katalogu Windows i wyświetla fałszywe komunikaty o błędach:

The recipient requested has not been or could not be resolved to a unique address list entry
The recipient could not be resolved to any address.The recipient might not exist or might be unknown
One or more unspecified errors occured
The name was not resolved
There was insufficient memory to proceed
The operation was not supported by the messaging system
The user was cancelled one or more dialog box

Jeśli wysyłanie zainfekowanej wiadomości zakończy się pomyślnie, wirus wyświetla komunikat:

AV Intelligent Updater
Internal error occured when you have launch this program
Contact antivirus@hotmail.com or others AV

Inne sposoby ujawniania się robaka

W zależności od daty i czasu systemowego robak usuwa pliki zapisane w katalogu Windows i wyświetla komunikaty:

 • 13 dnia każdego miesiąca jeśli liczba sekund wynosi 30:

  Virus Win32.AVUpdate
  Attention, votre PC est en danger!!!!!
  Car ceci est ma veritable identite
  Veuillez contacter votre centre AV le plus proche

 • 2 lutego:

  Win32.Eva by Benny, (c) 1999
  Hello stupid user, i'm so sorry but i have to interrupt your work,
  Cause i hate this shitty program. Click OK to continue
  Greets to:
  Super/29A
  Darkman/29A
  Jack Qwerty/29A
  Billy Belcebu/DDT
  And many other 29 Aers...

 • 9 maja:

  Win32.3x3eyes coded by: Bumblee[UC]
  This is my last contribution to Ultimate Chaos team Greetings UC brothers

 • 5 kwietnia:

  Virus Report rev 2.1
  SPIT.Win32 is a Bumblee Win32 Virus
  Feel the power of spain and die by the SpiT!

 • 24 września:

  TOTILIX Presents...
  This >TOTILIX< Virus was assembled at the city of Oporto Portugal!
  Gas_par@hotmail.com
  (c) 1999 G@SP@R aka Sexus

Warianty robaka

Istnieje kilka znanych wersji robaka. Różnią się one od oryginału wartościami kluczy rejestru, treścią komunikatów oraz sposobami ujawniania swojej obecności:

Totilix.b

 • Klucz rejestru:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
  CurrentVersion\RunServices ILoveBritney = "nazwa pliku robaka"

 • Komunikaty:

  ILoveBritney Freeware
  Please select email address to send at your friend
  This program open automaticaly your address book

  ILoveBritney Freeware
  Thanks to have take this freeware!!!!
  Which include new screen saver about britney
  Now, send this software to your friend who like me
  If you want to email me, send at britney@peeps.com

 • Wygląd wysyłanych wiadomości e-mail:

  Temat: New Britney Screen Saver
  Treść:

  Hi
  I Send you this mail to give you a new screen saver about Britney Spears.
  I hope your enjoy to have it.
  See you soon...

 • Sposoby ujawniania swojej obecności:

  12 lutego robak usuwa pliki AUTOEXEC.BAT, CONFIG.SYS, IO.SYS, MSDOS.SYS i wyświetla komunikat:

  Win32.ILoveBritney
  It's Britney Birthday!!!!!
  You musn't work today...

Totilix.c

 • Klucz rejestru:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
  CurrentVersion\RunServices Madonna32 = "nazwa pliku robaka"

  lub

  MadonnaNT = "nazwa pliku robaka"

 • Komunikaty:

  Madonna Hot Picture Software
  Hey, before you use this software
  Send me to your friends, please

  Madonna Hot Picture Software
  Hey, a error occured during the loading
  Please retry later or contact Madonna Official Site

  Madonna Hot Picture Software
  A error occured when i try to send email
  Please refer to your windows help for more informations

  Madonna Hot Picture Software
  This program need MAPI functions
  It can be find into your computer
  Please refer to Windows help to install it

 • Wygląd wysyłanych wiadomości e-mail:

  Temat: Madonna Hot Picture
  Treść:

  Hey, I know you like Madonna.I found this software on Madonna Official Site.
  It contains a lot of picture about Madonna.
  I hope you like to have it
  See you soon...

 • Sposoby ujawniania swojej obecności:

  W zależności od daty i czasu systemowego robak wyświetla komunikat i zamyka system Windows:

  Win32.IHateMadonna by ZeMacroKiller98
  Hey man, you see now that your PC is infected by me
  Just now, you see that i HATE Madonna

  lub nadpisuje plik AUTOEXEC.BAT komendą formatującą dysk C: i wyświetla komunikat:

  Win32.IHateMadonna
  Ha Ha Ha Ha!!!, Madonna Virus is in your computer...
  And time is occured to destroy your PC!!!!!!
  Thanks to ZeMacroKiller98!!!