I-Worm.Hallad

Robak ten znany jest r贸wnie偶 jako W32.Zacker@mm oraz W32/Maldal@MM. Rozprzestrzenia si臋 poprzez Internet jako zainfekowany plik za艂膮czony do wiadomo艣ci e-mail. Szkodnik rozsy艂a si臋 r贸wnie偶 poprzez kana艂y IRC i posiada dodatkowe procedury. Wirus ma posta膰 pliku PE EXE o rozmiarze oko艂o 80 KB i zosta艂 napisany w j臋zyku programowania Visual Basic 6.

Zainfekowane wiadomo艣ci wygl膮daj膮 nast臋puj膮co:

Temat: %Nazwa nadawcy% + " is a millionaire"

Za艂膮cznik: LucKey.exe

Tre艣膰:

" Hi" + %Nazwa odbiorcy% + "Your Friend " + %Nazwa nadawcy% + " invites you to be a millionaire" + %Nazwa odbiorcy% + "and says : " + % Nazwa odbiorcy % + "Wow..its really cool Test your lock ;)" + % Nazwa odbiorcy % + " just keep this advertisements pro run and you will get 0.25 $ every 30 minutes" + % Nazwa odbiorcy % + " + " Wo-finance Team"

Robak uaktywnia si臋 z zainfekowanej wiadomo艣ci tylko wtedy, gdy u偶ytkownik uruchomi za艂膮czony do niej plik.

Instalacja

Podczas instalacji robak kopiuje si臋 z nazwami LUCKEY.EXE oraz DALLAH.EXE do katalogu systemowego Windows. Nast臋pnie wy艣wietla okno zawieraj膮ce komunikat:

Run time error '71'
Object required

Rozprzestrzenianie poprzez e-mail

W celu wysy艂ania zainfekowanych wiadomo艣ci robak wykorzystuje program MS Outlook i rozsy艂a "korespondencj臋" do wszystkich u偶ytkownik贸w zapisanej w ksi膮偶ce adresowej.

Rozprzestrzenianie poprzez kana艂y IRC

Robak skanuje dysk komputera w poszukiwaniu pliku MIRC.INI i nadpisuje znaleziony zbi贸r skryptem, kt贸ry wysy艂a zainfekowany plik EXE do wszystkich u偶ytkownik贸w przy艂膮czaj膮cych si臋 do zainfekowanego kana艂u.

Funkcje dodatkowe

Robak tworzy w bie偶膮cym katalogu wiele plik贸w posiadaj膮cych nazwy:

Sharoon ****.exe
Bush ****.exe
ZA-Union ****.exe
BinLadin ****.exe

gdzie ***** jest liczb膮 od 1 do 9999.

Ponadto wirus pr贸buje usuwa膰 nast臋puj膮ce foldery z dysku, na kt贸rym zainstalowany jest system Windows:

Program FilesAntiViral Toolkit Pro
Program FilesCommand SoftwareF-PROT95
eSafeProtect
PC-Cillin 95
PC-Cillin 97
Program FilesQuick Heal
Program FilesFWIN32
Program FilesFindVirus
ToolkitFindVirus
f-macro
Program FilesMcAfeeVirusScan95
Program FilesNorton AntiVirus
TBAVW95
VS95
escue
Program Filesone Labs

Robak tworzy i uruchamia skrypt FLOPY.VBS. Kopiuje on plik wirusa na dyskietk臋 z nazw膮 MALAL.EXE. Ponadto skrypt wirusa dodaje do nazw wszystkich plik贸w zapisanych na dyskietce rozszerzenie EXE.