Email-Worm.Win32.Quamo

Jest to robak rozprzestrzeniaj膮cy si臋 przez internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 57 KB i powsta艂 przy u偶yciu j臋zyka programowania Visual Basic Script. Robak aktywuje si臋 tylko wtedy, gdy u偶ytkownik uruchomi za艂膮cznik zainfekowanej wiadomo艣ci e-mail.

Charakterystyka zainfekowanych wiadomo艣ci e-mail

  • Temat (wybierany z poni偶szych mo偶liwo艣ci):
    Something very special
    I know you will like this
    Yes, something I can share with you
    Wait till you see this!
    A brand new game! I hope you enjoy it
    

  • Tre艣膰 (wybierana z poni偶szych mo偶liwo艣ci):
    Hey you, take a look at the attached file.  
    You won't believe your eyes when you open it!
    
    You like games like Quake? 
    You will enjoy this one.
    
    Did you see the pictures of me and 
    my battery operated boyfriend?
    
    My best friend,
    This is something you have to see!
    Till next time
    
    Is Internet that safe?
    Check it out
    

  • Nazwa za艂膮cznika: setup.exe

Po uruchomieniu robak wy艣wietla nast臋puj膮cy obrazek: rocket.gif

W tym samym czasie robak instaluje si臋 w systemie. Wci艣ni臋cie przycisku NEXT nie wywo艂uje 偶adnej operacji, natomiast po klikni臋ciu przycisku CANCEL robak uruchamia procedur臋 wysy艂aj膮c膮 zainfekowane wiadomo艣ci e-mail.

Instalacja

Robak tworzy folder C:EIRAM i zapisuje w艂asne kopie:

  • c:eiramquake4demo.exe
  • f:quake4demo.exe

Nast臋pnie szkodnik tworzy w rejestrze systemowym klucze auto-run:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
"quake"="c:eiramquake4demo.exe"
"Q4"="f:quake4demo.exe"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Q4"="c:\eiramquake4demo.exe"
"quake"="f:quake4demo.exe"

Podczas wysy艂ania zainfekowanych wiadomo艣ci e-mail robak tworzy nast臋puj膮ce pliki w folderze Windows:

  • honey.exe
  • quake4demo.exe
  • setup.exe

Rozprzestrzenianie - wiadomo艣ci e-mial

Funkcja wysy艂aj膮ca zainfekowane wiadomo艣ci e-mail aktywowana jest tylko wtedy, gdy u偶ytkownik kliknie przycisk CANCEL w oknie wy艣wietlanym przez robaka.

Szkodnik wysy艂a swoje kopie do wszystkich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej programu MS Outlook.

Funkcja dodatkowa

Podczas ka偶dej aktywacji robak aktwuje funkcj臋, kt贸ra szuka plik贸w posiadaj膮cych rozszerzenia: EXE, XLS, DOC, MDB, HTM, HTML, TXT oraz OCX i nadpisuje je tekstem:

You've didn't protected your files well enough
Let this be a lesson! Never trust someone else
eiram 1999-2001