Worm.P2P.Scranor
Po uruchomieniu robak tworzy w folderze Program Files folder Sys32i i zapisuje w nim w艂asn膮 kopi臋 - Scran.exe. Dla kopii tej tworzony jest klucz auto-run w rejestrze systemowym, co zapewnia szkodnikowi uruchamianie wraz z ka偶dym startem systemu operacyjnego:
W32.Scran = %ProgramDir%sys32iScran.exe
Dodatkowo szkodnik tworzy wi臋cej w艂asnych kopii z nazwami:
Age of Empires crack.exe Age of Empires.exe CD Key.exe Counter Strike 6.exe Counter Strike.exe Grand Theft Auto 3 CD2 ISO.exe Half-Life.exe Hotmail account cracker.exe Hotmail Hack.exe KeyGen.exe Microsoft Office.exe Norton Anti Virus 2004.exe Norton Anti Virus 2005.exe Norton Anti Virus Crack.exe Norton Firewall.exe Norton Internet Security 2004.exe Partition Magic 8.exe Playstation 2.exe Resident Evil.exe Scran.cpl Tomb Raider.exe Trojan Remover.exe Windows XP Home.exe Yahoo Hack.exe ZoneAlarm Firewall Pro.exe
Szkodnik modyfikuje wpisy rejestru systemowego odpowiedzialne za lokalizacj臋 folder贸w wsp贸艂dzielonych program贸w KaZaA oraz iMesh:
[HKCUSoftwareiMeshClientLocalContent]
[HKCUSoftwareKazaaTransfer]
"dir0" = "012345:%ProgramDir%sys32i"
"dir0" = "012345:%ProgramDir%sys32i"
W rezultacie kopie robaka dost臋pne s膮 dla wszystkich u偶ytkownik贸w tych sieci P2P.
W celu oznaczenia zainfekowanego systemu szkodnik tworzy unikatowy identyfikator W32.Scran-Worm.
Robak szuka zainstalowanego w systemie klienta IRC. Po znalezieniu go zmienia zawarto艣膰 pliku script.ini. W rezultacie kopia szkodnika b臋dzie wysy艂ana do wszystkich u偶ytkownik贸w przy艂膮czaj膮cych si臋 do kana艂贸w IRC wykorzystywanych przez zainfekowany system.
Robak pobiera z Internetu plik botnet.jpg i zapisuje go w folderze g艂贸wnym dysku C: z nazw膮 botnet.exe. Plik ten zawiera najnowsz膮 wersj臋 backdoora
1 stycznia robak wy艣wietla na ekranie zainfekowanego komputera nast臋puj膮cy tekst:
Ha? Happy New Year W32.Scran!!
W32/Scranor.worm (McAfee), W32.Narcs (Symantec), Win32.Scran.12800 (Doctor Web), WORM_SCRANOR.A (Trend Micro), Worm/Scranor (H+BEDV), W32/Scranor.A (FRISK), Win32:Scranor (ALWIL), Worm/Sranor.A (Grisoft), Win32.Worm.P2P.Scranor.A (SOFTWIN), W32/Scranor.A.worm (Panda)