6 sierpnia 2004

UWAGA! I-Worm.Amus.a - usuwa pliki INI oraz DLL

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 50 KB (kompresja Yoda). Szkodnik powstał przy użyciu środowiska programistycznego Visual Basic. Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik.

Instalacja

Po uruchomieniu szkodnik wykonuje następujące operacje:

  • tworzy unikatowy identyfikator o nazwie Masum;
  • podejmuje próbę aktywowania funkcji ISpeechVoice.Speak i odtworzenia następującego tekstu:
    How are you. I am back. My name is mister hamsi. 
    I am seeing you. Haaaaaaaa. 
    You must come to turkiye. 
    I am cleaning your computer. 
    5. 4. 3. 2. 1. 0. Gule. Gule.

Następnie robak kopiuje się do foldera głównego dysku C z nazwą masum.exe oraz do foldera Windows z następującymi nazwami:

  • Adapazari.exe
  • Ankara.exe
  • Anti_Virus.exe
  • Cekirge.exe
  • KdzEregli.exe
  • Messenger.exe
  • Meydanbasi.exe
  • My_Pictures.exe
  • Pide.exe
  • Pire.exe

oraz tworzy dla pliku KdzEregli.exe następujący klucz w rejestrze systemowym:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microzoft_Ofiz"="%WINDIR%KdzEregli.exe"

Ponadto szkodnik tworzy klucz:

[HKCU\SOFTWARE\Microsoft\Masum\Who]
"Who"="OnEmLi_DeGiL"

Rozprzestrzenianie - poczta elektroniczna

Robak wykorzystuje do wysyłania zainfekowanych wiadomości e-mail program MS Outlook oraz jego książkę adresową.

Zainfekowane wiadomości wyglądają następująco:

  • Temat:
    Listen and Smile
  • Treść:
    Hey. I beg your pardon. You must listen.
  • Nazwa załącznika: Masum.exe

Funkcje dodatkowe

1, 6, 20 oraz 25 dnia każdego miesiąca robak zmienia adres URL strony startowej przeglądarki Internet Explorer na tekst:

Konneting du pepil and dizkoneting you. 
Anlami: Baglansan ne olacak, baglanmasan ne olacak. 
Zaten hatlar burada rezalet.

2, 15 oraz 17 dnia każdego miesiąca szkodnik usuwa wszystkie pliki INI zapisane w folderze Windows.

10 oraz 23 dnia każdego miesiąca szkodnik usuwa wszystkie pliki DLL zapisane w folderze Windows.