Win32.LazyMin
Po uruchomieniu zainfekowanego pliku kontrol臋 przejmuje modu艂 instaluj膮cy, kt贸ry deszyfruje kod g艂贸wny i zapisuje go w pliku "C:Rar$DI01.903" posiadaj膮cym format biblioteki DLL. Nast臋pnie kod g艂贸wny jest kopiowany z losow膮 nazw膮 (przyk艂adowo "Kmdldnok.dll") do folderu systemowego Windows i uruchamiany. Po wykonaniu tych czynno艣ci wirus usuwa plik "C:Rar$DI01.903" i rozpoczyna infekowanie wszystkich plik贸w EXE zapisanych na lokalnych dyskach twardych.
Szkodnik wyposa偶ony jest w procedur臋 backdoor, kt贸ra nawi膮zuje po艂膮czenie z internetem i oczekuje na nast臋puj膮ce polecenia hakera:
- wysy艂anie oraz odbieranie plik贸w,
- uruchamianie program贸w,
- wysy艂anie raport贸w dotycz膮cych zainfekowanego systemu,
- wysy艂anie hase艂 zapisanych w zainfekowanym systemie,
- uruchamianie wbudowanego serwera FTP,
- restartowanie komputera,
- czyszczenie pami臋ci CMOS,
- dopisywanie do pliku autoexec.bat polecenia formatuj膮cego dysk twardy.
Dodatkowo wirus podejmuje pr贸by zamykania proces贸w popularnych zap贸r ogniowych.
W celu przechowywania w艂asnych danych szkodnik tworzy w rejestrze systemowym nast臋puj膮ce klucze:
HKLMSoftwareMicrosoftMSDN
IDT
PSBAHMBS
fprt
KSE
W kodzie wirusa mo偶na znale藕膰 nast臋puj膮c膮 sygnatur臋:
LazyAdmin30
Release: 00:11 16.10.2002 [LCC-ViR]
LazyAdmin-VX v3.0 by ArkhAdms [DLL]