I-Worm.Plan
Zainfekowane wiadomo艣ci mog膮 wygl膮da膰 nast臋puj膮co:
- Temat:
US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<=
- Tre艣膰
VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..
Tematy oraz tre艣ci mog膮 tak偶e by膰 generowane losowo.
Nazwa za艂膮cznika jest generowana losowo i mo偶e posiada膰 jedno z nast臋puj膮cych rozszerze艅: GIF.VBS, BMP.VBS oraz JPG.VBS.
Po uaktywnieniu robak instaluje si臋 w systemie. Kopiuje si臋 do foldera Windows z nazw膮 reload.vbs, do foldera systemowego Windows z nazw膮 LINUX32.vbs (oraz z nazw膮 losow膮) i tworzy w rejestrze klucze auto-run.
Dodatkowo robak zapisuje na dysku plik US-PRESIDENT-AND-FBI-SECRETS.HTM, kt贸ry nie jest w 偶aden spos贸b wykorzystywany.
Szkodnik wysy艂a zainfekowane wiadomo艣ci e-mail do wszystkich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej programu MS Outlook, po czym infekuje wszystkie pliki posiadaj膮ce nast臋puj膮ce rozszerzenia:
- VBS
- VBE
- JS
- JSE
- CSS
- WSH
- SCT
- HTA
- JPG
- JPEG
- MP3
- MP2
Szkodnik pobiera tak偶e poni偶sze pliki ze stron WWW:
- http://members.fortunecity.com/plancolombia/macromedia32.zip
- http://members.fortunecity.com/plancolombia/linux321.zip
- http://members.fortunecity.com/plancolombia/linux322.zip
Pierwszy z tych plik贸w zawiera wy艂膮cznie tekst, a dwa pozosta艂e to obrazki BMP. Robak przenosi te pliki do foldera Windows z nast臋puj膮cymi nazwami:
- macromedia32.zip -> important_note.txt
- linux321.zip -> logos.sys
- linux322.zip -> logow.sys
nadpisuj膮c tym samym obrazki pojawiaj膮ce si臋 podczas uruchamiania i zamykania systemu operacyjnego.
Szkodnik wyposa偶ony jest w dodatkow膮 procedur臋 aktywowan膮 17 wrze艣nia. Powoduje ona od艂膮czenie wszystkich zmapowanych dysk贸w sieciowych i wy艣wietlenie komunikatu:
Dedicated to my best brother=>Christiam Julian(C.J.G.S.) Att. [losowe s艂owo sk艂adaj膮ce si臋 z 5 znak贸w] (M.H.M. TEAM)
W kodzie robaka zapisane s膮 nast臋puj膮ce teksty:
====================================================== "Plan Colombia" virus v1.0 by Sand Ja9e Gr0w (www.colombia.com) Dedicated to all the people that want to be hackers or crackers, in Colombia This program is also a protest act against the violence and corruption that Colombia lives... I always wanting that all this finishes, I have said... Santa fe de Bogot谩 2000/09 I dedicate to all you the song "GoodBye" of Andreas Bochelli ============================================================ Thanks God..! A greeting for "Lina Mar铆a" from "Santa fe de Bogot谩" A greeting for "Tizo" from "Spain" And One kicked of tail to my friends, "eL ChE" and "ThE SpY"