Email-Worm.Win32.Petik.b
Po uruchomieniu przez u偶ytkownika robak kopiuje si臋 do foldera systemowego Windows z nazwami Iesetup.exe oraz NetFriends.exe.
Nast臋pnie szkodnik tworzy rejestruje plik Iesetup.exe:
- w systemach Win9x/ME - w pliku WIN.INI, sekcja
[windows] , klucz"run=" - w systemach WinNT/2000/XP - w rejestrze systemowym, klucz
"Run="
Robak tworzy folder C:Friends i zapisuje w nim skrypt MAYA.VBS, kt贸ry s艂u偶y do rozsy艂ania kopii szkodnika w wiadomo艣ciach e-mail.
Podczas rozprzestrzeniania skrypt 艂膮czy si臋 z programem MS Outlook i wysy艂a zainfekowane wiadomo艣ci e-mail do wszystkich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej.
Zainfekowane wiadomo艣ci wygl膮daj膮 nast臋puj膮co:
- Temat:
Would you like a Net Friend ?
- Tre艣膰:
Look at this zip file to find a Net Friend
- Nazwa za艂膮cznika: NetFriends.exe
Nast臋pnie robak atakuje program mIRC szukaj膮c go w dw贸ch folderach: C:MIRC oraz C:MIRC32.
Zainfekowany mIRC wysy艂a kopie robaka (plik Iesetup.exe) do wszystkich u偶ytkownik贸w przy艂膮czaj膮cych si臋 do zainfekowanego kana艂u IRC.
Robak wy艣wietla na ekranie zainfekowanego komputera fa艂szywy komunikat:
WinZip Self-Extractor WinZip Self-Extractor header corrupt. Possible cause: bad disk or file transfer error
Dodatkowo szkodnik modyfikuje klucze rejestru systemowego:
RegisteredOwner = Maya, Laurent, Etienne
RegisteredOrganization = PetiK Corporation
5 dnia ka偶dego miesi膮ca robak wy艣wietla na ekranie nast臋puj膮cy komunikat:
I-Worm.Friends Coded by PetiK (c)2001 To my friends Maya and Laurent