Worm.P2P.Scranor

Jest to robak rozprzestrzeniaj膮cy si臋 przez Internet za po艣rednictwem sieci P2P KaZaA oraz iMesh, a tak偶e przy u偶yciu kana艂贸w IRC. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 12 KB.

Instalacja

Po uruchomieniu robak tworzy w folderze Program Files folder Sys32i i zapisuje w nim w艂asn膮 kopi臋 - Scran.exe. Dla kopii tej tworzony jest klucz auto-run w rejestrze systemowym, co zapewnia szkodnikowi uruchamianie wraz z ka偶dym startem systemu operacyjnego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
W32.Scran = %ProgramDir%sys32iScran.exe

Dodatkowo szkodnik tworzy wi臋cej w艂asnych kopii z nazwami:

Age of Empires crack.exe 
Age of Empires.exe
CD Key.exe 
Counter Strike 6.exe
Counter Strike.exe
Grand Theft Auto 3 CD2 ISO.exe
Half-Life.exe
Hotmail account cracker.exe
Hotmail Hack.exe
KeyGen.exe
Microsoft Office.exe
Norton Anti Virus 2004.exe
Norton Anti Virus 2005.exe
Norton Anti Virus Crack.exe
Norton Firewall.exe 
Norton Internet Security 2004.exe
Partition Magic 8.exe
Playstation 2.exe
Resident Evil.exe
Scran.cpl
Tomb Raider.exe
Trojan Remover.exe
Windows XP Home.exe
Yahoo Hack.exe
ZoneAlarm Firewall Pro.exe

Szkodnik modyfikuje wpisy rejestru systemowego odpowiedzialne za lokalizacj臋 folder贸w wsp贸艂dzielonych program贸w KaZaA oraz iMesh:

[HKCUSoftwareKazaaLocalContent]
[HKCUSoftwareKazaaTransfer]
"dir0" = "012345:%ProgramDir%sys32i"

[HKCUSoftwareiMeshClientLocalContent]
"dir0" = "012345:%ProgramDir%sys32i"

W rezultacie kopie robaka dost臋pne s膮 dla wszystkich u偶ytkownik贸w tych sieci P2P.

W celu oznaczenia zainfekowanego systemu szkodnik tworzy unikatowy identyfikator W32.Scran-Worm.

Rozprzestrzenianie

Robak szuka zainstalowanego w systemie klienta IRC. Po znalezieniu go zmienia zawarto艣膰 pliku script.ini. W rezultacie kopia szkodnika b臋dzie wysy艂ana do wszystkich u偶ytkownik贸w przy艂膮czaj膮cych si臋 do kana艂贸w IRC wykorzystywanych przez zainfekowany system.

Informacje dodatkowe

Robak pobiera z Internetu plik botnet.jpg i zapisuje go w folderze g艂贸wnym dysku C: z nazw膮 botnet.exe. Plik ten zawiera najnowsz膮 wersj臋 backdoora Backdoor.Win32.Rbot.gen.

1 stycznia robak wy艣wietla na ekranie zainfekowanego komputera nast臋puj膮cy tekst:

Ha?
Happy New Year W32.Scran!!

W32/Scranor.worm (McAfee),   W32.Narcs (Symantec),   Win32.Scran.12800 (Doctor Web),   WORM_SCRANOR.A (Trend Micro),   Worm/Scranor (H+BEDV),   W32/Scranor.A (FRISK),   Win32:Scranor (ALWIL),   Worm/Sranor.A (Grisoft),   Win32.Worm.P2P.Scranor.A (SOFTWIN),   W32/Scranor.A.worm (Panda)