Worm.Win32.Busan

Jest to robak rozprzestrzeniaj膮cy si臋 w sieciach lokalnych. Ma posta膰 aplikacji systemu Windows (plik PE EXE) o rozmiarze oko艂o 14 KB (kompresja UPX) i zosta艂 stworzony przy u偶yciu j臋zyka programowania C++.

Po uruchomieniu robak wysy艂a do swojego tw贸rcy wiadomo艣膰 przy u偶yciu komunikatora ICQ, a nast臋pnie kopiuje si臋 do folderu Windows z nazw膮 files32.sys i zapisuje program przechwytuj膮cy znaki wprowadzane z klawiatury - mh32.dll.

Po wykonaniu tych czynno艣ci szkodnik podejmuje pr贸b臋 umieszczenia swojej kopii auto.exe w nast臋puj膮cym folderze:

C:WINDOWSAll UsersStart MenuProgram FilesStartUp

jednak z powodu b艂臋d贸w w jego kodzie operacja ta nie jest poprawnie realizowana. Kolejnym krokiem szkodnika jest umieszczanie swoich kopii na wszystkich, dost臋pnych zasobach sieciowych.

Nast臋pnie robak tworzy w rejestrze klucz auto-run:

[HKEY_CLASSES_ROOT/exefile/shell/opencommand]
@="files32.sys "%1" %*"

W rezultacie uruchomienie jakiegokolwiek pliku EXE spowoduje aktywacj臋 robaka.

Po uruchomieniu robak gromadzi wszystkie, dost臋pne nazwy i has艂a skrzynek pocztowych zarejestrowanych w systemie, po czym zapisuje je w pliku C:WINDOWSlmhost.log i wysy艂a go do swojego tw贸rcy. W tym samym pliku zapisywane s膮 informacje przechwytywane przez wirusa z klawiatury zainfekowanego komputera.