I-Worm.Plan

Jest to modyfikacja robaka LoveLetter. Dzia艂a i rozprzestrzenia si臋 identycznie jak wersja oryginalna.

Zainfekowane wiadomo艣ci mog膮 wygl膮da膰 nast臋puj膮co:

  • Temat:
    US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<=
  • Tre艣膰
    VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..

Tematy oraz tre艣ci mog膮 tak偶e by膰 generowane losowo.

Nazwa za艂膮cznika jest generowana losowo i mo偶e posiada膰 jedno z nast臋puj膮cych rozszerze艅: GIF.VBS, BMP.VBS oraz JPG.VBS.

Po uaktywnieniu robak instaluje si臋 w systemie. Kopiuje si臋 do foldera Windows z nazw膮 reload.vbs, do foldera systemowego Windows z nazw膮 LINUX32.vbs (oraz z nazw膮 losow膮) i tworzy w rejestrze klucze auto-run.

Dodatkowo robak zapisuje na dysku plik US-PRESIDENT-AND-FBI-SECRETS.HTM, kt贸ry nie jest w 偶aden spos贸b wykorzystywany.

Szkodnik wysy艂a zainfekowane wiadomo艣ci e-mail do wszystkich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej programu MS Outlook, po czym infekuje wszystkie pliki posiadaj膮ce nast臋puj膮ce rozszerzenia:

  • VBS
  • VBE
  • JS
  • JSE
  • CSS
  • WSH
  • SCT
  • HTA
  • JPG
  • JPEG
  • MP3
  • MP2

Szkodnik pobiera tak偶e poni偶sze pliki ze stron WWW:

  • http://members.fortunecity.com/plancolombia/macromedia32.zip
  • http://members.fortunecity.com/plancolombia/linux321.zip
  • http://members.fortunecity.com/plancolombia/linux322.zip

Pierwszy z tych plik贸w zawiera wy艂膮cznie tekst, a dwa pozosta艂e to obrazki BMP. Robak przenosi te pliki do foldera Windows z nast臋puj膮cymi nazwami:

  • macromedia32.zip -> important_note.txt
  • linux321.zip -> logos.sys
  • linux322.zip -> logow.sys

nadpisuj膮c tym samym obrazki pojawiaj膮ce si臋 podczas uruchamiania i zamykania systemu operacyjnego.

Szkodnik wyposa偶ony jest w dodatkow膮 procedur臋 aktywowan膮 17 wrze艣nia. Powoduje ona od艂膮czenie wszystkich zmapowanych dysk贸w sieciowych i wy艣wietlenie komunikatu:

Dedicated to my best brother=>Christiam Julian(C.J.G.S.)
Att. [losowe s艂owo sk艂adaj膮ce si臋 z 5 znak贸w] (M.H.M. TEAM)

W kodzie robaka zapisane s膮 nast臋puj膮ce teksty:

 ======================================================
"Plan Colombia" virus v1.0
by Sand Ja9e Gr0w   (www.colombia.com)

Dedicated to all the people that want to be 
hackers or crackers, in Colombia
This program is also a protest act against 
the violence and corruption that Colombia lives...
I always wanting that all this finishes, I have said...

Santa fe de Bogot谩 2000/09
I dedicate to all you the song "GoodBye" of Andreas Bochelli
============================================================

Thanks God..!
A greeting for "Lina Mar铆a" from "Santa fe de Bogot谩"
A greeting for "Tizo" from "Spain"
And One kicked of tail to my friends, "eL ChE" and "ThE SpY"