29 lipca 2004

Worm.P2P.VB.bn - wykorzystuje sieci P2P

Jest to robak rozprzestrzeniający się przez internet za pośrednictwem sieci P2P. Ma postać pliku PE EXE o rozmiarze około 32 KB. Szkodnik powstał przy użyciu języka programowania Visual Basic.

Instalacja

Po uruchomieniu robak kopiuje się do folderu systemowego Windows z nazwą pliku, z którego został aktywowany i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\]
Windows = %nazwa pliku szkodnika%

Rozprzestrzenianie - sieci P2P

Robak umieszcza swoje kopie w następujących folderach:

  • C:\My Shared Folder\
  • C:\Windows\My Shared Folder\
  • C:\Windows\Share\
  • C:\My Downloads\C:\Windows\My Downloads\

Ataki DoS

Szkodnik przeprowadza ataki DoS (wysyła pakiety o rozmiarze 64 bajty za pośrednictwem narzędzia ping) na następujących serwerach:

  • www.microsoft.com
  • www.aol.com
  • www.yahoo.com
  • www.google.com

Ataki te przeprowadzane są w godzinach 0:00 - 18:00 oraz 19:00 - 0:00.

Oznaki infekcji

Po uruchomieniu między godziną 18:00, a 19:00 robak tworzy folder C:\Shared i umieszcza w nim własną kopię.