Email-Worm.Win32.Stator

Jest to robak internetowy rozprzestrzeniaj膮cy si臋 poprzez poczt臋 elektroniczn膮. Wirus mo偶e si臋 rozprzestrzenia膰 tylko na komputerach z zainstalowanym klientem pocztowym TheBat!. W celu wysy艂ania zainfekowanych wiadomo艣ci robak wykorzystuje protok贸艂 SMTP i 艂膮czy si臋 z serwerem smtp.mail.ru.

Temat oraz tre艣膰 wiadomo艣ci napisane s膮 w j臋zyku rosyjskim. Nazwa za艂膮czonego pliku (PE EXE) to "photo1.jpg.pif".

Przet艂umaczona tre艣膰 wiadomo艣ci wygl膮da nast臋puj膮co:

Witaj!

Otrzyma艂am Tw贸j adres od naszego wsp贸lnego znajomego. Od niedawna u偶ywam Internetu i jest to m贸j pierwszy lisy elektroniczny!!! Nasz wsp贸lny przyjaciel powiedzia艂 mi, 偶e je艣li b臋d臋 mia艂a jakie艣 pytania mog臋 zwr贸ci膰 si臋 do Ciebie... Jestem 艂adna i towarzyska. (Zobacz za艂膮czone zdj臋cie) Czekam na Twoj膮 odpowied藕!!! Napisz co艣 o sobie i co chcia艂by艣 wiedzie膰 o mnie. Pa pa! :)))))))))

Sveta Kovaleva

Dodatkowo robak instaluje si臋 w systemie i infekuje klika plik贸w systemowych, jak r贸wnie偶 wysy艂a has艂a i inne poufne informacje o zaatakowanym komputerze.

Aby ukry膰 swoje dzia艂anie robak wy艣wietla obrazek przedstawiaj膮cy dziewczyn臋. OBRAZEK

Infekowanie systemu

Po uruchomieniu robak instaluje si臋 w systemie na klika sposob贸w. Po pierwsze, infekuje pliki zapisane w katalogu Windows.

MPLAYER.EXE, WINHLP32.EXE, NOTEPAD.EXE, CONTROL.EXE, SCANREGW.EXE

Wirus zmienia rozszerzenia tych plik贸w na .VXD, po czym kopiuje si臋 na miejsce oryginalnych plik贸w z rozszerzeniem .EXE.

Nast臋pnie wirus umieszcza klika swoich dodatkowych kopii: SCANREGW_EXE oraz LOADPE.COM do katalogu systemowego Windows oraz IFNHLP.SYS katalogu Windows. Plik LOADPE.COM jest umieszczany w sekcji auto-run rejestru systemowego:

HKCRexefileshellopencommand = LOADPE.COM

Podczas uruchamiania dowolnego pliku Win32 EXE jest on infekowany przez kopi臋 wirusa.

Nast臋pnie plik SCANREGW.EXE jest umieszczany w sekcji auto-run rejestru systemowego:

HKLMSoftwareMicrosoftWindowsCurrentVersion
RunServices ScanRegistry = %SystemDir%scanregw.exe

Informacje wysy艂ane przez robaka

Robak wysy艂a z zainfekowanego komputera nast臋puj膮ce informacje:

  • has艂a i loginy umo偶liwiaj膮ce zdalny dost臋p do zaatakowanej maszyny;
  • has艂a i loginy lokalnej sieci;
  • informacje o programach BCSoft NetLaunch, PySoft AutoConnect oraz CureFtp (je艣li s膮 zainstalowane);
  • parametry systemowe program贸w Netscape i TheBat! (je艣li s膮 zainstalowane);
  • list臋 serwer贸w ftp FAR (je艣li istnieje);
  • has艂a FIDO ftp (je艣li istniej膮);
  • konfiguracj臋 systemu i inne informacje systemowe.