22 września 2001

I-Worm.Creepy - modyfikuje ustawienia internetowe

Jest to robak rozprzestrzeniający się poprzez Internet w postaci pliku załączonego do wiadomości e-mail. Wirus został stworzony przy użyciu środowiska programistycznego Delphi i ma postać aplikacji Windows o rozmiarze 330 KB.

Zainfekowana wiadomość wygląda następująco:

Temat: Leuk programmaatje!

Treść:

Hallo , dit is een heel gaaf programmaatje wat ik van Bert gekregen heb.
Opstarten en gedurende 5 minuten naar de stip kijken en daarna naar je hand.
Creepy!!
Ik heb het op virussen gecheckt dus dat zit wel snor.
Groetjes...

Nazwa załączonego pliku: HYPNOSE.EXE (nazwa ta może być inna)

Robak działa z założeniem, że program Outlook jest uruchomiony. Jeśli tak nie jest wirus może się zawiesić. Szkodnik wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresowej. Nazwa pliku załączonego do wiadomości może być różna - zależy ona od nazwy pliku, z którego nastąpiła infekcja komputera.

Po uruchomieniu robak wyświetla poniższą wiadomość w oknie sesji DOS:

Welkom bij de hypnose truuk!

Na deze hypnose sessie, kunt u iedere willekeurige tekst ondersteboven lezen! Zorg dat u vast een A-4tje met tekst, of een krant, ondersteboven naast u hebt liggen.

Er verschijnen zometeen tien regels met een willekeurige text op het scherm. Het kan tot 15 seconden duren voordat de eerste regel verschijnt. Lees ieder woord totdat het scherm veranderd. Nu verschijnt een draaiende spiraal. Hierop concentreert u zich gedurende 10 tot 15 seconden. Kijk hierna snel naar het blad met tekst en zie!! U kunt ondersteboven lezen!!

Grafische elementen worden geinstalleerd, moment aub...

Szkodnik modyfikuje klucze auto-run rejestru systemowego dzięki czemu uruchamia się wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MyApp"=<ścieżka dostępu do pliku robaka>

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"MyApp"=< ścieżka dostępu do pliku robaka >

Ponadto wirus zmienia ustawienia internetowe modyfikując poniższy klucz:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Internet Settings\SafeSites]
"ie.search.msn.com" =
"http://www.serverbeat.nl/redir.php?http://www.protagonist.nl/redir.php?
http://www.uniserver.nl/redir.php?"

Robak ustawia adres strony startowej programu Internet Explorer na 'www.de-isp.nl', tworzy na pulpicie łącza do następujących adresów URL:

\www.de-isp.url
\www.plexusict.nl.url
\www.nedcomp.nl.url
\www.protagonist.nl.url
\www.serverbeat.nl.url
\www.activeisp.nl.url
\Registreer een domein 1.url
\Registreer een domein 2.url
\Registreer een domein 3.url

i modyfikuje zawartość folderu Ulubione dodając do niego poniższe adresy:

\www.de-isp.url
\www.plexusict.nl.url
\www.nedcomp.nl.url
\www.protagonist.nl.url
\www.serverbeat.nl.url
\www.activeisp.nl.url
\Internet Hosting\www.de-isp.url
\Internet Hosting\www.plexusict.nl.url
\Internet Hosting\www.nedcomp.nl.url
\Internet Hosting\www.protagonist.nl.url
\Internet Hosting\www.serverbeat.nl.url
\Internet Hosting\www.activeisp.nl.url
\Internet Hosting\Registreer een domein 1.url
\Internet Hosting\Registreer een domein 2.url
\Internet Hosting\Registreer een domein 3.url