Email-Worm.Win32.Roach

Jest to robak pocztowy (znany r贸wniez jako
E-fortune cookie generator
) wyposa偶ony w procedur臋 backdoor. Zosta艂 stworzony przez grup臋 hakersk膮 ASM/iKX. Jest to jeden z pierwszych robak贸w wykorzystuj膮cych wyszukiwark臋 internetow膮 w celu gromadzenia adres贸w e-mail potencjalnych ofiar. Szkodnik ma posta膰 pliku PE EXE o rozmiarze oko艂o 29 KB. Jego kod jest zaszyfrowany prost膮 p臋tl膮 XOR. W kodzie robaka znajduje si臋 kilka powa偶nych b艂臋d贸w, kt贸re uniemo偶liwiaj膮 mu funkcjonowanie zgodnie z zamiarami tw贸rcy.

Po uruchomieniu robak pobiera adresy API kilku funkcji z nast臋puj膮cych bibliotek:

KERNEL32.DLL
KERNEL32.DLL
WSOCK32.DLL
WININET.DLL
USER32.DLL
MPR.DLL
ADVAPI32.DLL
IMAGEHLP.DLL
SETUPAPI.DLL

Robak zapisuje w folderze systemowym Windows archiwum ZIP pod nazw膮 EGGCASE.ATT. Zawiera ono plik FILE_ID.DIZ, w kt贸rym znajduje si臋 nast臋puj膮cy tekst:

FortuneCookie 32 - Version 1.0 
* FREEWARE *

DESCRIPTION:
 
FortuneCookie 32 is a Windows 32 version of the classical
fortune cookies you can get at some restaurants. It's very
simple double clicking on the cookie.exe file will bring up a
fortune cookie.

This program is freeware so feel free to send out a word of
wisdom to your friends!

W przypadku wyst膮pienia b艂臋du podczas powy偶szych operacji robak umieszcza w艂asn膮 kopi臋 w folderze tymczasowym, po czym uruchamia procedur臋 szukaj膮ca plik贸w EGGCASE*.ATT, co prowadzi do natychmiastowego znalezienia kopii o nazwie EGGCASE.ATT. Nast臋pnie szkodnik kopiuje is臋 do folderu WindowsSystem jako DCCOM32.EXE i rejestruje ten plik w kluczu auto-run o nazwie dcomdriver:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

Nast臋pnie szkodnik dodaje swoj膮 kopi臋 - COOKIE.EXE - do utworzonego wcze艣niej archiwum (eggcase.att). Archiwum to jest wykorzystywane podczas wysy艂ania zainfekowanych wiadomo艣ci e-mail.

Robak sprawdza stan po艂膮czenia z internetem. Je偶eli nie zosta艂o ono nawi膮zane szkodnik aktywuje si臋 ponownie po up艂yni臋ciu pewnego czasu. Po wykryciu po艂膮czenia robak uruchamia dwa w膮tki, z kt贸rych pierwszy (odpowiadaj膮cy za rozprzestrzenianie) umieszczany jest w niesko艅czonej p臋tli. W膮tek drugi to backdoor wykorzystuj膮cy kana艂y IRC.

W膮tek pierwszy tworzy 3 gniazda, rozwi膮zuje nazwy host贸w pop.hotpop.com, diemen.nl.eu.undernet.org (serwer IRC) oraz wwp.icq.com. Nast臋pnie szkodnik pobiera informacje o domy艣lnym koncie i podejmuje pr贸b臋 po艂膮czenia si臋 z serwerem SMTP. Je偶eli jest on niedost臋pny szkodnik wykorzystuje serwer mail.hotmail.com.

Nast臋pnie robak uzyskuje dost臋p do danych u偶ytkownika zapisanych w rejestrze systemowym. Je偶eli nie zapisano tam 偶adnej nazwy, szkodnik generuje j膮 losowo korzystaj膮c z poni偶szych mo偶liwo艣ci:

dark
evil
lost
cool
kewl
fool
hack
dead
head
bozz

Wygenerowana lub pobrana z rejestru nazwa pojawi si臋 w polu "Od:" zainfekowanej wiadomo艣ci e-mail. Szkodnik generuje tak偶e trzy kolejne nazwy, kt贸re wykorzystywane s膮 w formularzu wyszukiwania adres贸w e-mail na serwerze pocztowym. Formularz ten wygl膮da nast臋puj膮co:

POST /scripts/srch.dll HTTP/1.1
User-Agent: Mozilla/4.73 (Windows 95; U) Opera 4.02  [en]
Host: wwp.icq.com
Accept: text/html, image/png, image/jpeg, image/gif, 
image/x-xbitmap, image/vnd.wap.wbmp;level=0, */*
Accept-Language: en
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Referer: http://www.icq.com/whitepages/search.html 
Connection: Keep-Alive
Content-type: application/x-www-form-urlencoded
Content-length: 212
FirstName=&LastName=&NickName=&Email=&AgeRange=0-0&
Gender=0&Lang=12&City=&State=&Country=0&Occupation=0
&Dept=&Company=&PastInfo=0&PastInfoText=&Interest=0
&InterestText=&SubInterest=&Group=0&GroupText=&SEND=Search

Nazwa nadawcy zainfekowanych wiadomo艣ci generowana jest losowo na podstawie dw贸ch tabel (pierwsza powy偶ej, druga poni偶ej), a jej domena to @hotmail.com. Oto druga tabela:

trooper
travler
nemonic
_maniac
_master
_avatar
_jesuzz
riddler
_satan_
lucifer

Temat zainfekowanych wiadomo艣ci to Fw: wraz losowym ci膮giem wybieranym z poni偶szej tabeli. W za艂膮czniku wiadomo艣ci znajduje si臋 archiwum FORTUNE.ZIP oraz plik SETUP.EXE. Tre艣膰 wiadomo艣ci zawiera tekst w formacie HTML:

SMACK!!!
You have been hit

This is the funny-attachment war! You have just been hit and by
the rule book you can't hit this person back. To be in the game
you need to send this message to five of your friends, try to
find some small and funny attachment to send along. If you don't
have time use the one you got hit by, go ahead hit someone!

Po uruchomieniu w膮tku drugiego robak generuje pseudonim sk艂adaj膮cy si臋 ze s艂owa nymph oraz czterocyfrowej liczby (przyk艂adowo nymph1234), 艂膮czy si臋 z serwerem IRC diemen.nl.eu.undernet.org. Nast臋pnie szkodnik 艂膮czy si臋 z kana艂em #nymph i wysy艂a prywatn膮 wiadomo艣膰:

[I-Worm-Nymph v.1.1] by Asm/iKX

Nast臋pnie robak uruchamia p臋tl臋 odpowiadaj膮c膮 na nast臋puj膮ce wiadomo艣ci IRC: PING,

Robak zawiera nast臋puj膮ce teksty:

it is predictable, but I wouldn't like to 
predict it myself. - C. Lawson 
100,000 lemmings can't be wrong.
A friend in need is a pain in the ass. 
A man is as old as he feels. But never as important.
A man is as old as the woman he feels. 
Always be sincere - Even when you don't mean it. 
Always tell her she's pretty, especially when she isn't. 
Anyone who can see through a woman is missing a lot. 
Avoid life - It'll kill you in the end. 
Do to the other fellow as he would do unto you. 
But for God's sake do it first! 
Experience, the name given by men to their mistakes.
Get stoned - Drink liquid cement. 
Happiness can't buy money. 
If a woman wants to learn to drive, 
don't stand in her way. 
Join the army, travel the world,
meet interesting people and shoot them. 
Just because you're paranoid it doesn't 
mean they aren't out to get you. 
Life is a sexually transmitted disease. 
Love Thy Neighbour - But don't get caught. 
Money can't buy friends but it can buy 
a better class of enemy. - Spike Milligan. 
Never put off till tomorrow what you 
can avoid altogether. 
Racial prejudice is a pigment of 
the imagination 
Smoking - think of it as evolution in action. 
Sudden prayers make God jump. 
When faced with two evils I like to do the one 
I've never tried before. - Mae West 
Live fast, Die young, Leave a good 
looking corpse. 
A Wise Man can see more from the 
bottom of a well than 
a Fool can see from the top of a mountain. 
Walk softly but carry a big stick. 
TO DO IS TO BE - Socrates%TO BE IS TO DO - 
Sartre%DO BE DO BE DO - Sinatra 
It is better to keep your mouth closed 
and let people think  
you are a fool than to open it and remove 
all doubt. - Samual Clemmens 
What you can not avoid, Welcome. 
If you can't tie good knots... tie many. 
Anything free is worth what you pay for it. 
Two wrongs do not make a right; it usually 
takes three or more.

[I-Worm.Nymph@MM v.1.1] by Asmodeus iKX 
creech, creech... we will infest. 
Info - this is a stripped version of W32/Roach, 
it will pave way for its larger cousin. 
Greets : Lifewire/iKX, BillyBel/iKX, StarZero/iKX 
SimpelSimon, Ultras, Vecna, T-2000, and the rest 
of the ikx family