Email-Worm.Win32.Finaldo

Jest to rezydentny i polimorficzny robak rozprzestrzeniaj膮cy si臋 poprzez internet w postaci plik贸w za艂膮czonych do zainfekowanych wiadomo艣ci e-mail. Szkodnik zara偶a pliki uruchamialne zapisane na dyskach lokalnych i sieciowych. Wirus posiada b艂臋dy i zainfekowane programy cz臋sto zawieszaj膮 si臋 podczas uruchamiania.

Zainfekowany plik EXE

Kod wirusa przechowywany jest w zainfekowanych plikach EXE w postaci zaszyfrowanej. W momencie uruchomienia zara偶onego pliku aktywowana jest procedura polimorficzna, kt贸ra deszyfruje i uruchamia cz臋艣膰 kodu wirusa. Kod ten rozpakowuje i 艂aduje g艂贸wny komponent wirusa.

G艂贸wny komponent robaka

G艂贸wny komponent robaka jest bibliotek膮 PE systemu Windows (plik DLL), a jego rozmiar to oko艂o 31 KB (kod ten jest skompresowany przy u偶yciu narz臋dzia UPX).

Po uruchomieniu komponent tworzy dwa dodatkowe pliki (FINALDOOM.EML oraz FINALDOOM.EXE) w katalogu TEMP systemu Windows. Pierwszy plik to wiadomo艣膰 e-mail rozsy艂ana przez robaka, natomiast plik drugi wykorzystywany jest przez wirusa do tworzenia bloku MIME w jego w艂asnym pliku EML.

Nast臋pnie wirus instaluje si臋 w pami臋ci systemu Windows, przechwytuje cztery funkcje API odpowiedzialne za wyszukiwanie plik贸w (FindNextFileA, FindNextFileW) i otwieranie plik贸w (CreateFileA, CreateFileW) oraz infekuje pliki EXE, SCR, OCX, HTM, HTML, ASP.

Przy u偶yciu funkcji systemu Windows robak infekuje pliki EXE zapisane na dost臋pnych dyskach sieciowych.

Infekowanie

Podczas infekowania plik贸w EXE wirus sprawdza ich nazwy oraz zawarto艣膰 i nie atakuje pliku NTOSKRNL.EXE oraz samorozpakowuj膮cych si臋 archiw贸w utworzonych przy u偶yciu narz臋dzi WinZip i RAR.

Podczas infekowania plik贸w HTML robak dodaje do nich komend臋 otwieraj膮c膮 plik EML i kopiuje w艂asny plik FINALDOOM.EML do odpowiedniego katalogu.

Poczta elektroniczna

Przed ka偶dym uruchomieniem procedury rozprzestrzeniaj膮cej robak pozostaje w u艣pieniu przez oko艂o 30 minut. Wirus 艂膮czy si臋 z klientem poczty elektronicznej przy u偶yciu MAPI, odczytuje odebrane wiadomo艣ci i odpowiada na nie.

Backdoor

Wirus zawiera r贸wnie偶 komponent backdoor, kt贸ry umo偶liwia zdalnemu u偶ytkownikowi wykonywanie na zainfekowanej maszynie czterech operacji:

  • zapisywanie i uruchamianie zainfekowanego pliku;
  • zamykanie systemu Windows;
  • wy艂膮czanie procedury backdoor;
  • wy艣wietlanie poni偶szego komunikatu:
    Finaldoom is coming ! Don't worry... 
    It's no harm to your system !

W kodzie szkodnika zapisana jest sygnatura autora:

Coded_by_CJH
It's only a demo version. 
Made in china