15 listopada 2004

UWAGA! I-Worm.Buchon.b

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 31 KB.

Instalacja

Po uruchomieniu robak tworzy w folderze głównym dysku C: plik csrss.exe, po uruchomieniu którego szkodnik wykonuje następujące operacje:

 • tworzy w rejestrze systemowym klucz auto-run zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "Key Logger"="C:\csrss.exe"

 • tworzy plik c:\csrss.bin, w którym zapisywane są raporty z funkcjonowania szkodnika,
 • uruchamia funkcję pozwalającą na zdalne pobieranie plików z Internetu.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z plików zawierających następujące rozszerzenia:

DAT 
DBX 
EML 
MBX 
MDB 
TBB 
WAB

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

 • Adres nadawcy: losowy
 • Temat:
  Mail Delivery failure

 • Nazwa załącznika (wybierana z poniższych możliwości):
  message txt
  mcafee.com
  

 • Treść (wybierana z poniższych możliwości):
  If the message will not displayed automatically, 
  you can check original in attached message.txt.
  
  Failed message also saved at: 
  www.$HOST$/inbox/security/read.asp?sessionid-23368
  
  (check attached instructions)
  +++ Attachment: No Virus found
  +++ MC-Afee AntiVirus - www.mcafee.com
  

Inne znane nazwy szkodnika

W32/Buchon.gen@MM (McAfee),   W32.Buchon.A@mm (Symantec),   Win32.HLLM.Netsky.61984 (Doctor Web),   W32/Netsky-AE (Sophos),   Win32/Buchon.B@mm (RAV),   WORM_BUCHON.B (Trend Micro),   Worm/Buchon.B (H+BEDV),   W32/Buchon.B@mm (FRISK),   Win32:Buchon-B (ALWIL),   I-Worm/Buchon.B (Grisoft),   Win32.Netsky.AF@mm (SOFTWIN)