15 grudnia 2004

UWAGA! I-Worm.Win32.Zafi.d

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci wymiany plików. Ma postać pliku PE EXE o rozmiarze około 12 KB (kompresja FSG, rozmiar po rozpakowaniu - około 37 KB). Szkodnik wyposażony jest w procedurę backdoor.

Instalacja

Po uruchomieniu robak wyświetla na ekranie następujący tekst:

CRC:04F7Bh
Error in packed file!

Następnie szkodnik kopiuje się do foldera \Windows\System z nazwą NortonUpdate.exe i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Wxp4" = C:\WINDOWS\SYSTEM32\Norton Update.exe

Dodatkowo szkodnik tworzy w folderze \Windows\System pliki posiadające losowe nazwy i rozszerzenia DLL. W plikach tych zapisywane są adresy e-mail znalezione przez robaka na zainfekowanym komputerze.

Robak tworzy także w rejestrze systemowym klucz:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4]

Wxp4 to identyfikator służący do oznaczania zainfekowanych komputerów.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej oraz z plików posiadających następujące rozszerzenia:

adb 
asp 
dbx 
eml 
fpt 
htm 
inb 
mbx 
php 
pmr 
sht 
tbb 
txt 
wab

Szkodnik nie wysyła własnych kopii pod adresy zawierające następujące teksty:

admi 
cafee 
google 
help 
hotm 
info 
kasper 
micro 
msn 
panda 
secur 
sopho 
suppor 
syman 
trend 
use 
viru 
webm 
win 
yaho

W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

Zainfekowane wiadomości e-mail wysyłane są w różnych językach, w zależności od domeny, w której znajduje się adres e-mail odbiorcy.

  • Temat (wybierany z poniższych możliwości):
    Merry Christmas! 
    boldog karacsony... 
    Feliz Navidad! 
    ecard.ru Christmas Kort! 
    Christmas Vykort! 
    Christmas Postkort! 
    Christmas postikorti! 
    Christmas - Kartki! 
    Weihnachten card. 
    Prettige Kerstdagen! 
    Christmas pohlednice 
    Joyeux Noel! 
    Buon Natale!
    
  • Treść (wybierana z poniższych możliwości):
    Happy HollyDays!
    :) [Sender] 
    
    Kellemes Unnepeket!
    :) [Sender]
    
    Feliz Navidad!
    :) [Sender] 
    
    Glaedelig Jul!
    :) [Sender]
     
    God Jul!
    :) [Sender]
     
    Iloista Joulua!
    :) [Sender]
     
    Naulieji Metai!
    :) [Sender]
     
    Wesolych Swiat!
    :) [Sender]
     
    Fröhliche Weihnachten!
    :) [Sender]
     
    Prettige Kerstdagen!
    :) [Sender]
     
    Veselé Vánoce!
    :) [Sender]
     
    Joyeux Noel!
    :) [Sender]
     
    Buon Natale!
    :) [Sender]
    
  • Nazwa załącznika jest generowana losowo i może posiadać jedno z poniższych rozszerzeń:
    .bat 
    .cmd 
    .com 
    .pif 
    .zip

Rozprzestrzenianie - sieci lokalne oraz sieci P2P

Robak kopiuje się z poniższymi nazwami:

music
share 
upload

do folderów współdzielonego programu KaZaA:

winamp 5.7 new!.exe 
ICQ 2005a new!.exe

Zdalne zarządzanie

Robak otwiera port TCP 8181 i oczekuje na zdalne polecenia. Wbudowana w szkodnika funkcja backdoor pozwala zdalnemu hakerowi na uzyskanie całkowitej kontroli nad zainfekowanym komputerem.

Funkcja dodatkowa

Szkodnik podejmuje próby utrudniania pracy zapór ogniowych oraz aplikacji antywirusowych poprzez zastępowanie ich plików własnymi kopiami. W32.Erkez.D@mm (Symantec),   Win32.HLLM.Hazafi.36864 (Doctor Web),   W32/Zafi-D (Sophos),   Win32/Zafi.D@mm (RAV),   Possible_Virus (Trend Micro),   Worm/Zafi.D (H+BEDV),   W32/Zafi.D@mm (FRISK),   I-Worm/Zafi.D (Grisoft),   Win32.Zafi.D@mm (SOFTWIN),   Worm.Zafi.D (ClamAV),   Win32/Zafi.D (Eset)