Worm.Naliv

Jest to robak rozprzestrzeniaj膮cy si臋 przez sie膰 lokaln膮 oraz globaln膮. Ma posta膰 aplikacji Win32 (pliku PE EXE) o rozmiarze oko艂o 12 KB i powsta艂 przy u偶yciu 艣rodowiska programistycznego Borland C++.

Po uruchomieniu robak kopiuje si臋 do folderu systemowego Windows. Nazwa kopii szkodnika jest taka sama jak nazwa pliku, z kt贸rego zosta艂 uruchomiony. Nast臋pnie robak tworzy klucz auto-run w rejestrze systemowym:

HKLM\SOFTWAREMicrosoftWindowsCurrentVersionRun
NAV Live Update = %nazwa pliku robaka%

W celu rozprzestrzeniania si臋 robak generuje w niesko艅czonej p臋tli losowe numery IP i pr贸buje nawi膮zywa膰 z nimi po艂膮czenie. Je偶eli wykryty zostanie komputer z dyskiem udost臋pnionym do zapisu szkodnik umieszcza na nim swoje kopie w nast臋puj膮cych folderach (je偶eli istniej膮):

  • C$Documents and SettingsAll UsersStart MenuProgramsStartup,
  • CWINDOWSStart MenuProgramsStartup,
  • C$WINNTAll UsersStart MenuProgramsStartup.

Wykonywalny plik robaka wymaga do uruchomienia obecno艣ci biblioteki borlndmm.dll b臋d膮cej sk艂adnikiem kompilatora Borland Delphi oraz Borland C++.