17 listopada 2004

UWAGA! Worm.P2P.Scranor

Jest to robak rozprzestrzeniający się przez Internet za pośrednictwem sieci P2P KaZaA oraz iMesh, a także przy użyciu kanałów IRC. Ma postać pliku PE EXE o rozmiarze około 12 KB.

Instalacja

Po uruchomieniu robak tworzy w folderze \Program Files folder Sys32i i zapisuje w nim własną kopię - Scran.exe. Dla kopii tej tworzony jest klucz auto-run w rejestrze systemowym, co zapewnia szkodnikowi uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
W32.Scran = %ProgramDir%\sys32i\Scran.exe

Dodatkowo szkodnik tworzy więcej własnych kopii z nazwami:

Age of Empires crack.exe 
Age of Empires.exe
CD Key.exe 
Counter Strike 6.exe
Counter Strike.exe
Grand Theft Auto 3 CD2 ISO.exe
Half-Life.exe
Hotmail account cracker.exe
Hotmail Hack.exe
KeyGen.exe
Microsoft Office.exe
Norton Anti Virus 2004.exe
Norton Anti Virus 2005.exe
Norton Anti Virus Crack.exe
Norton Firewall.exe 
Norton Internet Security 2004.exe
Partition Magic 8.exe
Playstation 2.exe
Resident Evil.exe
Scran.cpl
Tomb Raider.exe
Trojan Remover.exe
Windows XP Home.exe
Yahoo Hack.exe
ZoneAlarm Firewall Pro.exe

Szkodnik modyfikuje wpisy rejestru systemowego odpowiedzialne za lokalizację folderów współdzielonych programów KaZaA oraz iMesh:

[HKCU\Software\Kazaa\LocalContent]
[HKCU\Software\Kazaa\Transfer]
"dir0" = "012345:%ProgramDir%\sys32i"\

[HKCU\Software\iMesh\Client\LocalContent]
"dir0" = "012345:%ProgramDir%\sys32i\"

W rezultacie kopie robaka dostępne są dla wszystkich użytkowników tych sieci P2P.

W celu oznaczenia zainfekowanego systemu szkodnik tworzy unikatowy identyfikator W32.Scran-Worm.

Rozprzestrzenianie

Robak szuka zainstalowanego w systemie klienta IRC. Po znalezieniu go zmienia zawartość pliku script.ini. W rezultacie kopia szkodnika będzie wysyłana do wszystkich użytkowników przyłączających się do kanałów IRC wykorzystywanych przez zainfekowany system.

Informacje dodatkowe

Robak pobiera z Internetu plik botnet.jpg i zapisuje go w folderze głównym dysku C: z nazwą botnet.exe. Plik ten zawiera najnowszą wersję backdoora Backdoor.Win32.Rbot.gen.

1 stycznia robak wyświetla na ekranie zainfekowanego komputera następujący tekst:

Ha?
Happy New Year W32.Scran!!

Inne znane nazwy robaka

W32/Scranor.worm (McAfee),   W32.Narcs (Symantec),   Win32.Scran.12800 (Doctor Web),   WORM_SCRANOR.A (Trend Micro),   Worm/Scranor (H+BEDV),   W32/Scranor.A (FRISK),   Win32:Scranor (ALWIL),   Worm/Sranor.A (Grisoft),   Win32.Worm.P2P.Scranor.A (SOFTWIN),   W32/Scranor.A.worm (Panda)