Worm.P2P.Cassidy

Jest to robak internetowy rozprzestrzeniaj膮cy si臋 przy u偶yciu sieci wymiany plik贸w KaZaA. Dzia艂a w systemach Win32, ma posta膰 pliku PE EXE o rozmiarze oko艂o 205 KB i zosta艂 stworzony przy pomocy 艣rodowiska programistycznego MS Visual C++.

Po uruchomieniu zainfekowanego pliku robak instaluje si臋 w systemie kopiuj膮c si臋 do folderu Windows z nazw膮 CassieWorm.exe oraz tworz膮c dla tej kopii klucz auto-run w rejestrze systemowym:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
CassieWorm = %WindowsDir%CassieWorm.exe

Dodatkowo robak wy艣wietla fa艂szywy komunikat o wyst膮pieniu b艂臋du:

WinZip Self-Extractor
Bad CRC checksum, terminating extraction.
If the file was downloaded please download it again.

Aby robak m贸g艂 si臋 rozprzestrzenia膰 na zainfekowanym komputerze musi by膰 zainstalowany klient sieci KaZaA. Szkodnik dokonuje nast臋puj膮cych modyfikacji tego 艣rodowiska:

  • tworzy wsp贸艂dzielony podkatalog w folderze Windows,
  • rejestruje go jako wsp贸艂dzielony folder sieci KaZaA tworz膮c nowe klucze:

    HKCUSoftwareKazaaLocalContent
    Dir0 = "012345:%Folder Windows%Shared Folder"
    DisableSharing = 0

  • wyszukuje wykonywalny plik programu KaZaA odczytuj膮c klucz rejestru:

    HKLMSOFTWAREKazaaCloudLoad
    ExeDir = %KazaaExeDir%

  • rejestruje ten plik w kluczu auto-run:

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
    KAZAA = "%KazaaExeDir%Kazaa.exe /SYSTRAY"

  • zapisuje swoje kopie w folderze Shared Folder z nast臋puj膮cymi nazwami:

    • warcraft 3 maphack.exe
    • counterstrike hack pack.exe
    • diablo 2 pindlebot.exe
    • diablo 2 maphack.exe
    • playstation 2 emulator fanix.exe
    • kazaa participation hack.exe
    • cable modem ultility pack.exe
    • winzip full version key generator.exe
    • jamella's diablo 2 editor.exe
    • winamp plugin pack.exe
    • pop-up killer.exe
    • email forger.exe
    • aim utilities.exe
    • serials 2k.exe
    • macromedia dreamweaver key generator.exe
    • windows xp key generator.exe
    • grand theft auto 3 key generator.exe
    • hacking utilities.exe

Po zako艅czeniu instalacji robak wysy艂a wiadomo艣膰 e-mail do swojego tw贸rcy (pod adres cassieworm@hotmail.com). Temat wiadomo艣ci to CassieWorm infected, natomiast jej tre艣膰 zawiera informacje rejestracyjne i adres sieciowy zainfekowanego komputera oraz bie偶膮c膮 dat臋 i czas systemowy. Tre艣膰 ta wygl膮da nast臋puj膮co:

CassieWorm infected on system:
IP: 
Host Name: 
Registered User: 
Infected To: 
Local Time: 
Time Until Destruct:

Funkcje dodatkowe

14 lutego 2003 o godzinie 7:20 robak usuwa wszystkie pliki zapisane na wszystkich dost臋pnych dyskach twardych.