Email-Worm.Win32.MyPics

Jest robak internetowy, rozprzestrzeniaj膮cy si臋 w Internecie za pomoc膮 wiadomo艣ci e-mail. Sam robak jest plikiem wykonywalnym Windows o d艂ugo艣ci 34 304 bajt贸w, stworzonym w j臋zyku programowania VisualBasic. Robak zawiera bardzo gro藕ny "艂adunek", kt贸ry mo偶e powa偶nie zagrozi膰 danym przechowywanym na zainfekowanym komputerze.

Oznaki infekcji

W celu "r臋czniego" wykrycia obecno艣ci robaka na danym komputerze nale偶y wykona膰 nast臋puj膮ce czynno艣ci:

  • przejrze膰 list臋 aktywnych zada艅 naciskaj膮c klawisz TAB przy wci艣nietym klawiszu ALT; proces robaka powinien nazywa膰 si臋 MYPICS
  • sprawdzi膰 klucz rejsetru HKEY_CURRENT_USERSoftwareMicrosoftOffice"jpgs2?"; w przypadku infekcji b臋dzie on posiada艂 warto艣膰 "... by sfkwnty"
  • sprawdzi膰 nast臋puj膮ce klucze w rejestrze systemowym:

    • SOFTWAREMicrosoftWindowsCurrentVersionRun
      "Creative" = "C:Pics4You.exe"
    • SOFTWAREMicrosoftWindowsNT CurrentVersion
      WindowsRun "Creative" = "C:Pics4You.exe"

  • sprawdzi膰 stron臋 startow膮 programu Intenet Explorer; w przypadku infekcji powinna by膰 ona zmieniona na http://www.geocities.com/SiliconValley/Vista/8279/index.html

Instalacja

Robak dociera do komputera w przesy艂ce z za艂膮czonym plikiem PICS4YOU.EXE. Temat zainfekowanej wiadomo艣ci jest pusty a jej tre艣膰 nast臋puj膮ca:

Here's some pictures for you ! 

Gdy uruchomimy zainfekowany plik robak przejmuje kontrol臋 nad systemem i instaluje si臋 w pami臋ci Windows jako aktywne zadanie o nazwie MYPICS. Nast臋pnie aktywowana jest procedura instalacyjna, kt贸ra rejstruje robaka w systemie.

Rozprzestrzenianie

Gdy sekwencja instalacyjna zako艅czy si臋 robak rozsy艂a swoje kopie poprzez Internet. Ta cecha jest "odziedziczona" po robaku Melissa, kt贸ry zosta艂 wykryty w marcu tego roku. I-Worm.MyPics otwiera ksi膮偶k臋 adresow膮 programu MS Outlook, pobiera z niej adresy e-mail i niezauwa偶enie rozsy艂a swoje kopie do maksymalnie 50 z nich. By sie nie powtarza膰, robak tworzy klucz w rejestrze systemowym (pierwszy ze wspomnianych powy偶ej) i sprawdza jego obecno艣膰 podczas ka偶dego uruchomienia.

Dzia艂anie

Robak ten ma bardzo niebezpieczne dzia艂anie. W roku 2000 nadpisuje zawarto艣膰 pliku C:AUTOEXEC.BAT dwoma komendami formatuj膮cymi dyski C: i D:. dodatkowo MyPics tworzy i uruchamia plik C:CBIOS.COM, kt贸ry niszczy pami臋膰 CMOS (czy艣ci pole CRC pami臋ci CMOS)

Modyfikacje robaka

Powsta艂y trzy modyfikacje szkodnika. S膮 to:

  • MyPics.b,d (znane r贸wnie偶 jako ICQ_Greetings)
  • MyPics.c (znany r贸wnie偶 jako Video)

Robaki te zbudowane s膮 na bazie kodu oryginalnego MyPics. R贸偶nice s膮 nast臋puj膮ce:

Zainfekowane okno wiadomo艣ci:

  • MyPics.a: Here's some pictures for you !
  • MyPics.b,d: Season's Greetings
  • MyPics.c: Here's a digital video for you

Nazwy za艂膮cznik贸w zainfekowanych wiadomo艣ci e-mail:

  • MyPics.a: C:Pics4You.exe
  • MyPics.b,d: C:Icq_Greetings.exe
  • MyPics.c: C:ip01.exe

Warto艣膰 klucza rejestru (HKEY_CURRENT_USERSoftwareMicrosoftOffice):

  • MyPics.a: "jpgs2?" = "... by sfkwnty"
  • MyPics.b,c,d: "ppll1?" = "... by diejkdls"

Mechanizm wyzwalacza jest r贸wnie偶 inny. MyPics.b,d kasuje ustawienia systemu:

"RegisteredOwner" = Mike Carmody
"RegisteredOrganization" = 2034 Langley Ct. Holloman Afb, NM 88330

MyPics.b,d w 2000 roku wywo艂uje formatowanie dysku, za pomoc膮 nast臋puj膮cych instrukcji:

format d: /autotest /q /u 
format e: /autotest /q /u 
format a: /autotest /q /u 
format f: /autotest /q /u 
format u: /autotest /q /u 
format b: /autotest /q /u 

MyPics.b w 2000 roku, a MyPics.c 17 dnia ka偶dego miesi膮ca kasuje nast臋puj膮ce pliki:

  • c:*.c*
  • d:*.c*
  • c:WinNtSystem*.c*
  • c:WinNt4System*.c*
  • c:WindowsSystem*.c*
  • c:WinNtSystem*.o*
  • c:WinNt4System*.o*
  • c:WindowsSystem*.o*
  • c:WinNt*.i*
  • c:WinNt4*.i*
  • c:Windows*.i*

MyPics.d w 2000 roku tworzy plik C:KillAntiVirus.bate, zapisuje do niego instrukcje zmieniaj膮ce dat臋 na 12-28-2041.