IM-Worm.Win32.VB.e

Jest to robak rozprzestrzeniaj膮cy si臋 przez Internet przy u偶yciu komunikatora MSN Messenger. Powsta艂 przy u偶yciu j臋zyka programowania Visual Basic, a jego rozmiar to oko艂o 200 KB. Szkodnik instaluje na zainfekowanych komputerach backdoora Backdoor.Win32.Rbot.hg.

Instalacja

Po uruchomieniu robak kopiuje si臋 do foldera g艂贸wnego (zazwyczaj C:) z jedn膮 z poni偶szych nazw:

bedroom-thongs.pif 
Hot.pif 
LMAO.pif 
LOL.scr 
naked_drunk.pif 
new_webcam.pif 
ROFL.pif 
underware.pif 
Webcam.pif 

Dodatkowo robak umieszcza w艂asn膮 kopi臋 z nazw膮 msnus.exe w folderze WindowsSystem.

Robak szuka nast臋puj膮cych plik贸w:

dnsserv.exe 
winhost.exe 
winis.exe 

Je偶eli pliki takie nie zostan膮 znalezione robak rozpakowuje z w艂asnego kodu plik cz.exe i uruchamia go. Plik ten zawiera backdoora Backdoor.Win32.Rbot.hg.

Po uruchomieniu backdoor kopiuje si臋 do foldera WindowsSystem z nazw膮 winhost.exe i tworzy klucze w rejestrze systemowym:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKCUSoftwareMicrosoftOLE]
"win32" = "winhost.exe"

Dodatkowo robak tworzy w folderze g艂贸wnym plik sexy.jpg i uruchamia go, co powoduje wy艣wietlenie poni偶szego obrazka: vb_e.jpg

Rozprzestrzenianie - komunikator MSN

Po uruchomieniu robak uzyskuje dost臋p do listy kontakt贸w komunikatora MSN Messenger i wysy艂a w艂asn膮 kopi臋 do wszystkich u偶ytkownik贸w.

Funkcja dodatkowa

Robak zmniejsza do zera poziom g艂o艣no艣ci karty d藕wi臋kowej.