Email-Worm.VBS.DragonBall
Gdy wirus zostanie uruchomiony, tworzy swoje kopie w katalogach systemowych:
- C:WindowsWinsock.vbs
- C:WindowsSysdir.vbs
- C:WindowsSystemmillioner.vbs
- C:WindowsSystemDragonBall.vbs
- C:WindowsSystemDragonBall.cab
Dodatkowo, szkodnik tworzy trzy skrypty w katalogu "mIRC":
- C:mIRCmirc.ini
- C:mIRCscript.ini
- C:mIRCupdate.ini
Nazwy katalog贸w C:Windows oraz C:mIRC s膮 zapisane w kodzie robaka "na sztywno", wi臋c nie mo偶e on pracowa膰 na komputerach, w kt贸rych system oraz klient mIRC zainstalowany jest w innym folderze.
Robak tworzy dwa klucze w rejestrze systemowym:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"winsock2.0"="C:\Windows\winsock.vbs"
"sysup"="C:\Windows\sysdir.vbs"
oraz zmienia warto艣ci dw贸ch kluczy pliku WIN.INI:
load=C:WindowsSystemDragonBall.vbs
run=C:WindowsSystemmillioner.vbs
W ten spos贸b zapewnia sobie uruchomienie wraz z ka偶dym startem systemu Windows.
Dodatkowo szkodnik zmienia warto艣膰 dw贸ch kluczy w rejestrze systemowym:
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"RegisteredOwner"="Dragon Ball Z by YuP"
"Start Page"=http://bdball.metropoli2000.net/fotos/imagenes/
sagas/foto7_40.jpg
Nast臋pnie wirus aktywuje swoj膮 procedur臋 rozprzestrzeniaj膮c膮. Otwiera ksi膮偶k臋 adresow膮 programu MS Outlook i wysy艂a wiadomo艣膰 do ka偶dego, znalezionego w niej u偶ytkownika:
- Temat:
Hello ;]
- Tre艣膰:
Hi , check out this game that j sent you (funny game from the net:]).
- Za艂膮czony plik: dragonball.vbs
Kod robaka zawiera wiele b艂臋d贸w, kt贸re uniemo偶liwiaj膮 mu wysy艂anie wiadomo艣ci e-mail.
Nast臋pnie wirus wy艣wietla okno zawieraj膮ce tekst:
In conclusion all the worm shows dialog box: Dragon Ball Z by YuP Thank you,and bye bye DragonWorld!!!
Gdy u偶ytkownik zamknie okno, robak przejmuje klawiatur臋 oraz mysz i poprzez program Media Player uruchamia plik:
http://bdball.metropoli2000.net/mmedia/videos/
clips/dballz/gokuhss1.mpg
Dodatkowo, szkodnik modyfikuje plik AUTOEXEC.BAT, dodaj膮c do niego instrukcje:
ECHO DraGon Ball [Z] by YuP
ECHO Thank you and bye bye dragon world!!