Worm.Chainsaw

Jest to sieciowy robak, rozprzestrzeniaj膮cy si臋 poprzez Internet.

Aby zainstalowa膰 si臋 w systemie, wirus kopiuje si臋 do folderu systemowego Windows z nazw膮 WINMINE.EXE oraz do folderu g艂贸wnego dysku bie偶膮cego z nazw膮 CHAINSAW.EXE. Nast臋pnie szkodnik rejestruje si臋 w sekcji auto-run rejestru systemowego:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Mines = 艣cie偶kaWINMINE.EXE

gdzie "艣cie偶ka" to nazwa folderu systemowego Windows.

Podczas kolejnego startu systemu robak jest automatycznie uruchamiany, po czym rejestruje si臋 jako aplikacja ukryta i uruchamia swoj膮 funkcj臋 rozprzestrzeniaj膮c膮. Funkcja ta wyszukuje dyski wsp贸艂dzielone w sieciach lokalnych, pobiera z nich nazwy katalog贸w systemowych Windows, kopiuje do nich robaka z nazw膮 CHAINSAW.EXE (je艣li dysk jest udost臋pniony w trybie pe艂nego dost臋pu) i rejestruje go, zapisuj膮c instrukcj臋 Run= w pliku WIN.INI. W momencie kolejnego uruchomienia zainfekowanego, zdalnego systemu procedura rozprzestrzeniaj膮ca doko艅czy "dzie艂a".

Po uruchomieniu, robak wysy艂a nast臋puj膮c膮 wiadomo艣膰 do grupy dyskusyjnej alt.horror:

  • Od:
    "Leatherface" hacked.up.for@bbq.net
  • Temat:
    CHAINSAWED
  • Tre艣膰 wiadomo艣ci:
    WHO WILL SURVIVE
    AND WHAT WILL BE LEFT OF THEM? 

Ponadto robak usi艂uje wysy艂a膰 swoje kopie do zdalnych maszyn. W tym celu, w niesko艅czonej p臋tli, pobiera losowo wybrane adresy IP i pr贸buje po艂膮czy膰 si臋 z nimi. Je艣li po艂膮czenie si臋 uda, bakcyl 艂膮czy si臋 z backdoorem (je艣li oczywi艣cie jest on zainstalowany na zdalnym komputerze). W przypadku sukcesu wirus wysy艂a swoj膮 kopi臋 do atakowanego komputera i zmusza backdoora do uruchomienia jej. Lista obs艂ugiwanych przez robaka backdoor贸w wygl膮da nast臋puj膮co: Sub7, NetBus, NetBios.

W zale偶no艣ci od daty systemowej robak wysy艂a pod losowe adresy IP pakiety powoduj膮ce ataki DoS. Pakiety te celowo zawieraj膮 b艂臋dy w bibliotekach Win9x, co powoduje zawieszanie atakowanych maszyn. Jednak w wyniku b艂臋du bakcyl bombarduje swoje ofiary tylko wtedy, gdy rok ustawiony jest na 0031, co jak wiadomo nie zdarza si臋 zbyt cz臋sto.

W zale偶no艣ci od wewn臋trznego licznika robak uruchamia program, kt贸ry niszczy dane na dysku twardym poprzez nadpisanie ich poni偶szym tekstem:

THE FILM WHICH YOU ARE ABOUT TO SEE IS AN ACCOUNT OF THE 
TRAGEDY WHICH BEFELL A GROUP OF FIVE YOUTHS. IN PARTICULAR 
SALLY HARDESTY AND HER INVALID BROTHER FRANKLIN. IT IS ALL 
THE MORE TRAGIC IN THAT THEY WERE YOUNG. BUT, HAD THEY LIVED 
VERY, VERY LONG LIVES, THEY COULD NOT HAVE EXPECTED NOR WOULD 
THEY HAVE WISHED TO SEE AS MUCH OF THE MAD AND MACABRE AS 
THEY WERE TO SEE THAT DAY. FOR THEM AN IDYLLIC SUMMER AFTERNOON 
DRIVE BECAME A NIGHTMARE. THE EVENTS OF THAT DAY WERE TO LEAD 
TO THE DISCOVERY OF ONE OF THE MOST BIZARRE CRIMES IN THE 
ANNALS OF AMERICAN HISTORY, THE TEXAS CHAIN SAW MASSACRE...