I-Worm.Fasong

Jest to robak rozprzestrzeniaj膮cy si臋 przez sie膰 lokaln膮. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 170 KB i zosta艂 stworzony przy u偶yciu 艣rodowiska programistycznego Delphi.

Instalacja

Podczas instalacji robak kopiuje si臋 do losowo wybieranych folder贸w i dysk贸w, z losow膮 nazw膮 posiadaj膮c膮 rozszerzenie EXE, przyk艂adowo: GMLKU.EXE, TKXMLIB.EXE, LUFV.EXE. Nast臋pnie szkodnik tworzy w rejestrze systemowym klucze auto-run dla swoich kopii:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
%losowa nazwa%.EXE = %losowa nazwa%.EXE

Robak modyfikukje tak偶e inne klucze rejestru:

  • HKCRchm.fileshellopencommand (warto艣膰 domy艣lna = "hh.exe" %1)
  • HKCRexefileshellopencommand (warto艣膰 domy艣lna = "%1 %*")
  • HKCRinifileshellopencommand (warto艣膰 domy艣lna = "notepad.exe %1")
  • HKCR egfileshellopencommand (warto艣膰 domy艣lna = "regedit.exe %1")
  • HKCRscrfileshellopencommand (warto艣膰 domy艣lna = "%1 /S")
  • HKCR xtfileshellopencommand (warto艣膰 domy艣lna = "notepad.exe %1")

Rozprzestrzenianie

Robak kopiuje si臋 z losowymi nazwami (rozszerzenie EXE) do wszystkich dysk贸w lokalnych oraz sieciowych. W celu uruchomienia si臋 na zdalnym komputerze szkodnik tworzy w folderze g艂贸wnym atakowanego dysku sieciowego plik autorun.inf i zapisuje w nim polecenie [autorun], OPEN=.

Ko艅 troja艅ski

W kodzie robaka znajduje si臋 ko艅 troja艅ski pobieraj膮cy informacje osobiste z komunikatora ICQ oraz z kilku chi艅skich program贸w i wysy艂a je za po艣rednictwem wiadomo艣ci e-mail do swojego tw贸rcy.

Informacje dodatkowe

Robak przechowuje w艂asne informacje w nast臋puj膮cym kluczu rejestru systemowego:

HKLMSoftwareMicrosoftWindowsCurrentVersionwin70

Szkodnik podejmuje pr贸by zamykania proces贸w program贸w antywirusowych oraz zap贸r ogniowych.

Ponadto robak szuka w zainfekowanym systemie pliku Msread.dt i pobiera z niego w艂asne ustawienia.