Email-Worm.Win32.Petik.b

Jest to robak rozprzestrzeniaj膮cy si臋 przez internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail oraz za po艣rednictwem kana艂贸w IRC. Ma posta膰 pliku NETFRIENDS.EXE o rozmiarze oko艂o 6,5 KB.

Po uruchomieniu przez u偶ytkownika robak kopiuje si臋 do foldera systemowego Windows z nazwami Iesetup.exe oraz NetFriends.exe.

Nast臋pnie szkodnik tworzy rejestruje plik Iesetup.exe:

  • w systemach Win9x/ME - w pliku WIN.INI, sekcja [windows], klucz "run="
  • w systemach WinNT/2000/XP - w rejestrze systemowym, klucz "Run="

Robak tworzy folder C:Friends i zapisuje w nim skrypt MAYA.VBS, kt贸ry s艂u偶y do rozsy艂ania kopii szkodnika w wiadomo艣ciach e-mail.

Podczas rozprzestrzeniania skrypt 艂膮czy si臋 z programem MS Outlook i wysy艂a zainfekowane wiadomo艣ci e-mail do wszystkich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej.

Zainfekowane wiadomo艣ci wygl膮daj膮 nast臋puj膮co:

  • Temat:
    Would you like a Net Friend ?
  • Tre艣膰:
    Look at this zip file to find a Net Friend
  • Nazwa za艂膮cznika: NetFriends.exe

Nast臋pnie robak atakuje program mIRC szukaj膮c go w dw贸ch folderach: C:MIRC oraz C:MIRC32.

Zainfekowany mIRC wysy艂a kopie robaka (plik Iesetup.exe) do wszystkich u偶ytkownik贸w przy艂膮czaj膮cych si臋 do zainfekowanego kana艂u IRC.

Robak wy艣wietla na ekranie zainfekowanego komputera fa艂szywy komunikat:

WinZip Self-Extractor
WinZip Self-Extractor header corrupt. 
Possible cause: bad disk or file transfer error

Dodatkowo szkodnik modyfikuje klucze rejestru systemowego:

HKLMSoftwareMicrosoftWindowsCurrentVersion
RegisteredOwner = Maya, Laurent, Etienne
RegisteredOrganization = PetiK Corporation

5 dnia ka偶dego miesi膮ca robak wy艣wietla na ekranie nast臋puj膮cy komunikat:

I-Worm.Friends
Coded by PetiK (c)2001
To my friends Maya and Laurent