Email-Worm.VBS.DragonBall

Jest to robak internetowy napisany w j臋zyku VBS, rozprzestrzeniaj膮cy si臋 poprzez wiadomo艣ci e-mail oraz kana艂y IRC. Wykorzystuje program MS Outlook. Wykorzystuj膮c program Media Player, szkodnik odtwarza plik pobrany z Internetu. Wirus nie dzia艂a prawid艂owo z powodu wyst臋puj膮cych w nim b艂臋d贸w.

Gdy wirus zostanie uruchomiony, tworzy swoje kopie w katalogach systemowych:

  • C:WindowsWinsock.vbs
  • C:WindowsSysdir.vbs
  • C:WindowsSystemmillioner.vbs
  • C:WindowsSystemDragonBall.vbs
  • C:WindowsSystemDragonBall.cab

Dodatkowo, szkodnik tworzy trzy skrypty w katalogu "mIRC":

  • C:mIRCmirc.ini
  • C:mIRCscript.ini
  • C:mIRCupdate.ini

Nazwy katalog贸w C:Windows oraz C:mIRC s膮 zapisane w kodzie robaka "na sztywno", wi臋c nie mo偶e on pracowa膰 na komputerach, w kt贸rych system oraz klient mIRC zainstalowany jest w innym folderze.

Robak tworzy dwa klucze w rejestrze systemowym:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winsock2.0"="C:\Windows\winsock.vbs"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"sysup"="C:\Windows\sysdir.vbs"

oraz zmienia warto艣ci dw贸ch kluczy pliku WIN.INI:

[windows]
load=C:WindowsSystemDragonBall.vbs
run=C:WindowsSystemmillioner.vbs

W ten spos贸b zapewnia sobie uruchomienie wraz z ka偶dym startem systemu Windows.

Dodatkowo szkodnik zmienia warto艣膰 dw贸ch kluczy w rejestrze systemowym:

[HKLMSoftwareMicrosoftWindowsCurrentVersion]
"RegisteredOwner"="Dragon Ball Z by YuP"

[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Start Page"=http://bdball.metropoli2000.net/fotos/imagenes/
sagas/foto7_40.jpg

Nast臋pnie wirus aktywuje swoj膮 procedur臋 rozprzestrzeniaj膮c膮. Otwiera ksi膮偶k臋 adresow膮 programu MS Outlook i wysy艂a wiadomo艣膰 do ka偶dego, znalezionego w niej u偶ytkownika:

  • Temat:
    Hello ;]
  • Tre艣膰:
    Hi , check out this game that j sent you 
    (funny game from the net:]).
  • Za艂膮czony plik: dragonball.vbs

Kod robaka zawiera wiele b艂臋d贸w, kt贸re uniemo偶liwiaj膮 mu wysy艂anie wiadomo艣ci e-mail.

Nast臋pnie wirus wy艣wietla okno zawieraj膮ce tekst:

In conclusion all the worm shows dialog box: 
Dragon Ball Z by YuP
Thank you,and bye bye DragonWorld!!!

Gdy u偶ytkownik zamknie okno, robak przejmuje klawiatur臋 oraz mysz i poprzez program Media Player uruchamia plik:

http://bdball.metropoli2000.net/mmedia/videos/
clips/dballz/gokuhss1.mpg

Dodatkowo, szkodnik modyfikuje plik AUTOEXEC.BAT, dodaj膮c do niego instrukcje:

@ECHO ON
ECHO DraGon Ball [Z] by YuP
ECHO Thank you and bye bye dragon world!!