Email-Worm.Win32.BadtransII

Jest to robak internetowy rozprzestrzeniaj膮cy si臋 w systemach Win32. Szkodnik wysy艂a wiadomo艣ci e-mail posiadaj膮ce zainfekowany za艂膮cznik, jak r贸wnie偶 instaluje szpieguj膮cego konia troja艅skiego, kt贸ry kradnie informacje o zaatakowanym systemie. Wirus zosta艂 wykryty na wolno艣ci w listopadzie 2001 roku.

Szkodnik ma posta膰 uruchamialnego pliku Win 32 (plik PE EXE). Dociera do komputera w formie skompresowanej, a jego rozmiar to oko艂o 29 KB (60 KB po rozpakowaniu).

Robak sk艂ada si臋 w dw贸ch g艂贸wnych komponent贸w - Robaka oraz Trojana. Robak wysy艂a zainfekowane wiadomo艣ci e-mail, natomiast Trojan kradnie i wysy艂a pod okre艣lony adres informacje o zaatakowanym systemie (informacje o u偶ytkowniku, has艂a, teksty wpisywane z klawiatury). Dodatkowo Trojan przechowuje w swoim kodzie program keylogger i instaluje go w systemie podczas infekowania nowej maszyny.

Infekowanie systemu

Gdy zainfekowany plik zostanie uruchomiony (po klikni臋ciu na nim przez u偶ytkownika lub po aktywacji poprzez dziur臋 w zabezpieczeniach programu MS Internet Explorer zwan膮 IFRAME) kod robaka uzyskuje kontrol臋. Na pocz膮tku szkodnik instaluje wszystkie swoje komponenty i tworzy odpowiednie klucze w rejestrze systemowym.

Dodatkowo szkodnik umieszcza w systemie program przechwytuj膮cy znaki wpisywane z klawiatury (plik DLL o r贸偶nych nazwach). Robak mo偶e r贸wnie偶 usuwa膰 oryginalny zainfekowany plik po zako艅czeniu swojej instalacji.

Rozprzestrzenianie

W celu wysy艂ania zainfekowanych wiadomo艣ci robak korzysta z bezpo艣redniego po艂膮czenia z serwem SMTP. Adresy ofiar uzyskiwane s膮 na dwa sposoby:

  1. Poprzez skanowanie plik贸w HT oraz ASP i pobieranie z nich adres贸w e-mail;
  2. Poprzez wykorzystanie funkcji MAPI, odczytanie wszystkich wiadomo艣ci zapisanych w skrzynce odbiorczej i pobranie z nich adres贸w e-mail.

Nast臋pnie szkodnik wysy艂a zainfekowane wiadomo艣ci. Ich tre艣膰 posiada format HTML, dzi臋ki czemu robak mo偶e wykorzystywa膰 dziur臋 IFRAME w celu uaktywniania si臋 na atakowanych maszynach.

Wiadomo艣ci wygl膮daj膮 nast臋puj膮co:

  • Od: oryginalny nadawca, adres fa艂szywy lub wybrany z poni偶szej listy:

    • "Anna"
    • "JUDY"
    • "Rita Tulliani"
    • "Tina"
    • "Kelly Andersen"
    • "Andy"
    • "Linda"
    • "Mon S"
    • "Joanna"
    • "JESSICA BENAVIDES"
    • "Administrator"
    • "Admin"
    • "Support"
    • "Monika Prado"
    • "Mary L. Adams"
    • "Anna"
    • "JUDY"
    • "Tina" tina08@yahoo.com

  • Temat: pusty, Re: lub Re: wraz z tematem oryginalnej wiadomo艣ci pobranej przez robaka ze skrzynki odbiorczej.

  • Tre艣膰 wiadomo艣ci: pusta.

  • Nazwa za艂膮cznika: posiada format "Nazwa_pliku + rozszerzenie1 + rozszerzenie2". Parametry Nazwa_pliku, rozszerzenie1 oraz rozszerzenie2 wybierane s膮 spo艣r贸d poni偶szych mo偶liwo艣ci:

    • Nazwa_pliku:

      • Pics (lub PICS)
      • Card (lub CARD)
      • images (lub IMAGES)
      • Me_nude (lub ME_NUDE)
      • README
      • Sorry_about_yesterday
      • New_Napster_Site
      • news_doc (lub NEWS_DOC)
      • docs (lub DOCS)
      • HAMSTER
      • Humor (lub HUMOR)
      • YOU_are_FAT! (lub YOU_ARE_FAT!)
      • fun (lub FUN)
      • stuff
      • SEARCHURL
      • SETUP
      • S3MSONG

    • Rozszerzenie1: DOC, ZIP, MP3

    • Rozszerzenie2: SCR, PIF

Robak nigdy nie wysy艂a kilku wiadomo艣ci pod ten sam adres. W tym celu przechowuje wszystkie zainfekowane wiadomo艣ci w pliku PROTOCOL.DLL zapisanym w systemowym katalogu Windows. Przed wysy艂aniem ka偶dej wiadomo艣ci robak przegl膮da zawarto艣膰 tego pliku.

Znaleziony na wolno艣ci

Opisywana wersja robaka zosta艂a wykryta na wolno艣ci 24 listopada 2001 roku i charakteryzuje si臋 poni偶szymi w艂a艣ciwo艣ciami:

  • instaluje si臋 w systemowym katalogu Windows z nazw膮 KERNEL32.EXE i tworzy poni偶szy klucz w rejestrze systemowym:

    HKEY_LOCAL_MACHINESoftwareMicrosoft
    WindowsCurrentVersionRunOnce Kernel32 = kernel32.exe

  • instaluje w systemie program przechwytuj膮cy znaki wpisywane na klawiaturze (plik KDLL.DLL). Program ten wysy艂a zdobyte informacje pod adres uckyjw@hotmail.com. Ponadto szkodnik przechowuje skradzione dane w pliku CP_25389.NLS zapisanym w systemowym katalogu Windows.