Email-Worm.Win32.Pepex

Jest to robak rozprzestrzeniaj膮cy si臋 poprzez internet jako za艂膮cznik zainfekowanych wiadomo艣ci oraz przy u偶yciu sieci KaZaA i kana艂贸w IRC. Szkodnik ma posta膰 pliku PE EXE o rozmiarze oko艂o 32 KB i zosta艂 stworzony przy pomocy 艣rodowiska programistycznego Microsoft Visual C++.

Zainfekowane wiadomo艣ci posiadaj膮 nast臋puj膮ce pola:

  • From: "Microsoft" (information@microsoft.com)
  • Reply-To: "Microsoft" (microsoft@microsoft.com)
  • Subject: Internet Explorer vulnerability patch"
  • Tre艣膰: You will find all you need in the attachment
  • Za艂膮cznik: setup.exe

Robak aktywuje si臋 z zainfekowanej wiadomo艣ci tylko wtedy, gdy u偶ytkownik uruchomi za艂膮cznik.

Instalacja

Podczas instalacji robak kopiuje si臋 z nazw膮 "winsys???.exe" (gdzie '???' to losowy, trzycyfrowy numer) do systemowego folderu Windows i tworzy klucz auto-run w rejestrze systemowym:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run Windows task32 sys = %SystemDir%winsys???.exe

Nast臋pnie robak tworzy archiwum ZIP zawieraj膮ce kopi臋 pliku "winsys???.exe". Archiwum jest tworzone przy u偶yciu narz臋dzia WinZip32 (je偶eli jest zainstalowane) i ma nazw臋 "win32sys???.zip" (gdzie '???' jest tym samym, losowym numerem). Archiwum jest wykorzystywane przez robaka podczas rozprzestrzeniania poprzez kana艂y IRC.

Dodatkowo robak tworzy klucz rejestru s艂u偶膮cy do oznaczania zainfekowanego systemu:

HKEY_LOCAL_MACHINESoftwareRedCell
infected = yes

Nast臋pnie szkodnik szuka w pami臋ci aktywnych proces贸w, kt贸rych nazwy rozpoczynaj膮 si臋 od liter "AV" lub "av" (programy antywirusowe) i pr贸buje zako艅czy膰 ich dzia艂anie.

Rozprzestrzenianie: wiadomo艣ci e-mail

W celu wysy艂ania zainfekowanych wiadomo艣ci robak wykorzystuje bezpo艣rednie po艂膮czenie z domy艣lnym serwerem SMTP lub z serwerem "smtp.barrysworld.com". Adresy "ofiar" pobierane s膮 z plik贸w ".HTM" zapisanych w katalogi przechowuj膮cym tymczasowe pliki internetowe.

Robak tworzy podczas rozprzestrzeniania dodatkowy plik "C:Msbootlog.sys", w kt贸rym zapisuje w艂asn膮 kopi臋 w formacie MIME.

Rozprzstrzenianie: kana艂y IRC

Robak tworzy w folderze mIRC plik SCRIPT.INI i zapisuje w nim komend臋 wysy艂aj膮c膮 plik "win32sys???.zip" do wszystkich u偶ytkownik贸w przy艂膮czaj膮cych si臋 do zainfekowanego kana艂u IRC.

Rozprzstrzenianie: sie膰 KaZaA

Robak kopiuje si臋 do folderu aplikacji KaZaA z jedn膮 z poni偶szych nazw:

  • icq2002.exe
  • wincrack.exe
  • winamp3.exe
  • mirc6.exe

Funkcje dodatkowe

Po zako艅czeniu instalacji robak wy艣wietla fa艂szywy komunikat informuj膮cy o wyst膮pieniu b艂臋du:

Error
This program has performed an illegal operation

15 pa藕dziernika szkodnik wy艣wietla nast臋puj膮cy komunikat:

I-Worm/PiecebyPiece'

Cause nothing ever lasts forever
We're like flowers in this vase, together
You and me, it's pulling me down
Tearing my down, piece by piece
And you can't see
That's it's like a disease
Killing me now, it's so hard to breathe"
-Feeder (Piece by Piece)