30 listopada 2004

UWAGA! I-Worm.Pawur.a

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 51 KB (kompresja UPX, rozmiar po rozpakowaniu - około 70 KB).

Instalacja

Po uruchomieniu robak może wyświetlać poniższy tekst:

Error interno
Documento interno danado, reinstale la aplication asociada para poder visualizarlo
Mas informacion http:/ /www.microsoft.com El programa so cerrara.

Robak kopiuje się do foldera \Windows\System z nazwą Command.pif i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
'Messenger6' = "%System%\command.pif"

Następnie szkodnik tworzy w folderze \Windows\System pliki Paula.pif oraz Svchosl.pif i uruchamia je. Dla drugiego pliku tworzony jest klucz rejestru systemowego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Svchost"="%System%\svchosl.pif"

Po uruchomieniu pliku Paula.pif w folderze \Windows\System tworzone są następujące pliki:

ss.exe
sz.exe
sx.exe
sw.exe
m.zip

Pierwszy plik to "żart", drugi zawiera niegroźny program, trzeci i czwarty to składniki robaka, natomiast piąty plik zawiera kopię szkodnika.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z zainfekowanego komputera. W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat (wybierany z poniższych możliwości):
    re:Crees que puede ser verdad?
    re:Amor verdadero
    re:xD no me lo puedo creer!!
    re:Dejate de rollos y viv
    re:Psicolog
    re:Neptuno y Mercurio
    re:La Luna
    re:Voodoo un tanto ps...
    re:Eso con queso rima con...xD
    re:Como el aire...
    
  • Treść (wybierana z poniższych możliwości):
    No veas que cosas xD,luego me cuentas,chao.
    Crees en el amor de verdad?,miralo y ya hablamos,ciaooo
    Ver es creer!!!!chaoo.
    Mira lo que te mando y ya veras que los detalles mas pequenos
    son los que importan,ciaoo
    Test para ver si andas bien de las neuronassss!xD,luego hablamos,chao.
    Que relacion tienen estos planetas?,miralo y luego me cuentas,chao.
    Esa moribunda y solitaria Luna,Impresionante!chao.
    Sera cierta la magia negra?,sal de dudas y ya me cuentas,chao.
    Renvialo a todo que es que se meannn xD,nos vemos!
    No comment,xDD ,Nos vemos!!
    
  • Nazwa załącznika (wybierana z poniższych możliwości):
    D-Incognito.zip
    Love-Me.zip
    EL_rechazo.zip
    My life(Mi vida).zip
    Psiquico-Mix.zip
    Planetario.zip
    Moon(Luna).zip
    Voodoo!.zip
    Rimaz.zip
    Para-Brisas.zip 
    

Funkcja dodatkowa

Robak podejmuje próby usuwania plików posiadających następujące rozszerzenia:

.asm 
.asp 
.bat 
.bdsproj 
.bmp 
.c 
.css 
.doc 
.dot 
.dpr 
.gif 
.h 
.htm 
.html 
.inf 
.ini 
.iso 
.jpeg 
.jpg 
.log 
.mdb 
.mp3 
.msi 
.nfm 
.nrg 
.pas 
.pcx 
.pdf 
.php 
.ppt 
.rar 
.reg 
.rpt 
.txt 
.vb 
.vbs 
.wav 
.xls