Email-Worm.Win32.Gurong.a

Jest to robak rozprzestrzeniaj膮cy si臋 przez Internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail oraz za po艣rednictwem sieci P2P s艂u偶膮cych do wymiany plik贸w. Ma posta膰 pliku PE EXE o rozmiarze 28 160 bajt贸w (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 57 KB).

Instalacja

Po uruchomieniu robak kopiuje si臋 do foldera WindowsSystem z nazw膮 wmedia16.exe i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"WMedia16"="wmedia16.exe"

Oryginalny plik robaka jest usuwany z zainfekowanego komputera.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:

adb
asp
dbx
htm
php
pl
sht
tbb
txt
wab

Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:

.aero
.gov
.mil
accoun
AccountRobot
acketst
admin
alert
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fethard
fido
foo.
fraud
fsf.
gnu
gold-certs
google
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
webmoney
you
your

W celu wysy艂ania wiadomo艣ci robak nawi膮zuje bezpo艣rednie po艂膮czenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomo艣ci e-mail

  • Nazwa nadawcy (wybierana z poni偶szych mo偶liwo艣ci):
    adam 
    alex 
    alexey 
    alice 
    andrew 
    anna 
    bob 
    boris 
    brenda 
    brent 
    brian 
    claudia 
    craig 
    cyber 
    dan 
    dave 
    david 
    debby 
    den 
    dmitry 
    frank 
    george 
    gerhard 
    helen 
    ilya 
    james 
    jane 
    jayson 
    jerry 
    jim 
    jimmy 
    joe 
    john 
    jose 
    julie 
    kevin 
    lee 
    leo 
    linda 
    linda 
    maria 
    marina 
    mary 
    matt 
    michael 
    mike 
    nikolay 
    olga 
    peter 
    ray 
    robert 
    sam 
    sandra 
    serg 
    smith 
    steve 
    tom 
    vlad 
    vladimir
    
  • Temat (wybierany z poni偶szych mo偶liwo艣ci):
    Greetings! 
    Hello friend ;) 
    Hey dear! 
    Hey! How are you doing bud? 
    Re: Hello 
    Re: I got it! Try it now! 
    Re[2]: wazzup bro 
    Wazzap bro!!
    
  • Tre艣膰 (wybierana z poni偶szych mo偶liwo艣ci):
    Message body (chosen from the list below):
    Greetings! Check out my portfolio, please! Here is some my photos in the archive. 
    Greetings. Here is some my nude photos in the attachment. 
    Hello bro! Here is my new girlfriend's photo! Check it out! 
    Hello buddy! Take a look at attachment! Here is my nude 17-yr sister! 
    Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;) 
    Hello! I sent you new skype plug-in, as you wished. 
    Hello! There is NEW plug-in for MSN. Try it out! 
    Hey bro! Check out attachment! There is a new plug-in for skype! 
    Hey dear! Here is my photos, as I promised. 
    Hey friend! Try this new smiles pack for MSN messenger! 
    Hey man! Take a look at attachment! 
    Whatz up man! There is my nude 17-yr sister in the attachment!
    
  • Nazwa za艂膮cznika (wybierana z poni偶szych mo偶liwo艣ci):
    body 
    conf_data 
    doc 
    document 
    i_love_u 
    i_luv_u 
    port_imgs 
    sex_girls 
    sex_pics
    
  • Rozszerzenie za艂膮cznika (wybierane z poni偶szych mo偶liwo艣ci):
    bat 
    cmd 
    exe 
    pif 
    scr 
    txt 
    zip
    

Rozprzestrzenianie - sieci P2P

Robak kopiuje si臋 z poni偶szymi nazwami do foldera wsp贸艂dzielonego programu KaZaA:

0day_patch
dcom_patches
icq5
lsas_patches
msblast_patches
office_crack
skype_video
strip-girl4.0c
trillian_crack_all
winamp5
xp_activation

Kopie te mog膮 posiada膰 nast臋puj膮ce rozszerzenia:

bat 
exe 
pif 
scr