Email-Worm.Win32.Scorpion

Jest to niebezpieczny robak rozprzestrzeniaj膮cy si臋 poprzez Internet w postaci zainfekowanych wiadomo艣ci e-mail. Szkodnik ma posta膰 aplikacji Windows o rozmiarze oko艂o 370 KB, napisanej przy u偶yciu 艣rodowiska programistycznego Delphi.

Po uruchomieniu si臋 robak rozpoczyna instalacj臋 w systemie, rejestruje si臋 jako ukryta aplikacja, wysy艂a zainfekowane wiadomo艣ci (posiadaj膮ce w za艂膮czniku jego kopi臋) i w zale偶no艣ci od daty systemowej uruchamia jedn膮 ze swoich procedur dodatkowych.

Instalacja w systemie

Robak kopiuje si臋 do katalogu systemowego Windows z nazw膮 wybieran膮 losowo spo艣r贸d poni偶szych mo偶liwo艣ci:

Play.exe, Bigs as.exe, Zorro.exe, Honey.exe, Jefes.exe, Corte de pelo.exe, Tangas.exe, Canibal.exe, Picadita.exe, Josefina.exe

i umieszcza t臋 kopi臋 w kluczu auto-run rejestru systemowego:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
Scorpion = %filename%

Wysy艂anie zainfekowanych wiadomo艣ci

Robak wysy艂a si臋 z zainfekowanych komputer贸w w postaci pliku za艂膮czonego do wiadomo艣ci e-mail. Temat i tre艣膰 wiadomo艣ci wybierane s膮 losowo spo艣r贸d poni偶szych mo偶liwo艣ci:

Temat:

Sorpresa !!!
Este si que es un buen presente
Diviertanse
Todo debe estar limpio
Echale un ojo a esto
Buena PECHOnalidad
Con todo mi aprecio
El aguijon de Scorpion
Traseros
Mujeres

Tre艣膰 wiadomo艣ci:

Abrelo sin miedo que, no es ningun Virus
No tiene ningun Virus
Abrelo no hay PELIGRO, esta limpio de Virus
Mira que bueno esta esto
Espero que esto te guste
Scorpion hace de las suyas
Esto si esta interesante abrelo que no hay peligro
Dime si te gusto
No tiene Virus, asi que abranlo y disfrutenlo
Observa el gran poder de las mujeres en su parte trasera

W celu wys艂ania zainfekowanych wiadomo艣ci robak 艂膮czy si臋 z serwerem SMTP. Nazw臋 tego serwera wirus pobiera z domy艣lnych ustawie艅 systemowych. Adresy ofiar pozyskiwane s膮 z pliku WAB (ksi膮偶ka adresowa systemu Windows). Ponadto robak za ka偶dym razem wysy艂a wiadomo艣ci pod poni偶sze adresy:

jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar

Robak wysy艂a wiadomo艣ci zaraz po swoim pierwszym uruchomieniu, a nast臋pnie po up艂ywie czasu zale偶nego od jego wewn臋trznych licznik贸w.

Procedury dodatkowe

Robak usuwa wszystkie pliki INF oraz SYS zapisane na dysku, na kt贸rym zainstalowany jest system Windows, w wyniku czego system operacyjny jest w wi臋kszo艣ci przypadk贸w niszczony.

Pocz膮wszy od 15 wrze艣nia robak manifestuje swoj膮 obecno艣膰 wy艣wietlaj膮c efekt graficzny.

Dodatkowo szkodnik modyfikuje poni偶sze klucze rejestru systemowego:

HKEY_LOCAL_MACHINESoftwareScorpionHelp
Mail = Negro
Fack = Rojo

Pierwszy klucz informuje, 偶e zainfekowane wiadomo艣ci zosta艂y ju偶 wys艂ane natomiast drugi, 偶e pliki INI oraz SYS zosta艂y usuni臋te.

W zale偶no艣ci od swoich wewn臋trznych licznik贸w robak zamyka aktywne aplikacje Windows, wysuwa/wsuwa tack臋 nap臋du CD-ROM, miga diodami Num/Caps/Scroll-lock znajduj膮cymi si臋 na klawiaturze oraz wy艣wietla 500 wiadomo艣ci zawieraj膮cych tekst:

Scorpion ya est谩 aqu铆 !!!!