Email-Worm.Win32.Icecubes

Jest to robak internetowy rozprzestrzeniaj膮cy si臋 poprzez poczt臋 elektroniczn膮. Wirus ma posta膰 uruchamialnego pliku o rozmiarze oko艂o 18 KB. Po uruchomieniu z za艂膮cznika wiadomo艣ci, robak instaluje si臋 w systemie i ukrywa swoj膮 aktywno艣膰 wy艣wietlaj膮c okno, kt贸re umo偶liwia "konfigurowanie" ukrytych funkcji systemu Windows (Windows Icecubes). icecubes.gif

Podczas instalacji, robak kopiuje si臋 do katalogu systemowego z nazw膮 WSOCK2.DLL (nie WSOCK32.DLL i nie WSOCK2.VXD), po czym infekuje oryginaln膮 bibliotek臋 WSOCK32.DLL. Zazwyczaj, biblioteka ta zabezpieczona jest przed zapisem i wtedy robak wykorzystuje standardowy trik: kopiuje atakowan膮 bibliotek臋 z nazw膮 WSOCK32.INF, infekuje kopi臋 i dodaje do pliku WIN.INI komend臋, kt贸ra podczas kolejnego uruchamiania systemu zamienia oryginaln膮 bibliotek臋 WSOCK32.DLL na zainfekowan膮 kopi臋.

Kod robaka w zainfekowanej bibliotece przechwytuje funkcj臋 "send" i monitoruje wszystkie wysy艂ane dane. W momencie wykrycia wychodz膮cej wiadomo艣ci e-mail, wirus duplikuje j膮 i do艂膮cza plik ICECUBES.EXE. Wiadomo艣膰 posiada:

Temat: Windows Icecubes !
Tre艣膰: I almost forgot. Look at what I found on the web. This tool scans your system for hidden Windows settings, better known as -Windows Icecubes-. These secret settings were built in by the Windows programmers. I think you might want to change them a little, just take a look ! :)

Dodatkowo, robak zapisuje do pliku ICECUBE.TXT (tworzonego w katalogu systemu Windows) internetowe identyfikatory oraz has艂a, wpisywane przez u偶ytkownika.

1 lipca robak wy艣wietla wiadomo艣膰:

W9x.Icecubes / f0re [lz0]
Windows detected icecubes on your harddrive.
This may cause the system to stop responding.
Do you want Windows to remove all icecubes ?