15 listopada 2004

UWAGA! I-Worm.Yeno.b

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku VBS o rozmiarze około 7 KB.

Instalacja

Po uruchomieniu robak wyświetla na ekranie poniższe okno:

Po kliknięciu przycisku Yes robak kończy swoje działanie, natomiast po kliknięciu przycisku No, na ekranie pojawia się kolejne okno:

Szkodnik kopiuje się do foldera \Windows\System z nazwą OXNEY.B.VBS i tworzy w rejestrze systemowym klucz zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"SPINX" = "Wscript.exe %System%\OXNEY.B.VBS %"

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z książki adresowej programu MS Outlook. Wygląd zainfekowanych wiadomości e-mail jest następujący:

  • Temat:
    Fw: I give you again
  • Treść:
    Spidey has give you some password of xxx site
    (cute) Spidey
    

Funkcje dodatkowe

Robak tworzy w rejestrze systemowym następujące klucza:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SPINX]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Load-Guard" = "Wscript.exe %Windir%\LGuarg.exe.vbs %"

[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"GeneralTab" = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "Micosoft Internet Explorer Provided by : Spidey"
"Start Page" = "Spidey.uni.cc"

Szkodnik szuka plików HTM oraz HTML zapisanych na dyskach C, D oraz E i infekuje je umieszczając w nich skrypt uruchamiający następujące pliki:

\Windows\System\OXNEY.B.VBS 
\Windows\LGuarg.exe.vbs

Dodatkowo robak dodaje własną kopię do plików VBS i VBE zapisanych na dyskach C, D oraz E.

Inne znane nazwy robaka

VBS/Yeno.gen (McAfee),   VBS/Generic2* (RAV)