Email-Worm.Win32.Stator
Temat oraz tre艣膰 wiadomo艣ci napisane s膮 w j臋zyku rosyjskim. Nazwa za艂膮czonego pliku (PE EXE) to "photo1.jpg.pif".
Przet艂umaczona tre艣膰 wiadomo艣ci wygl膮da nast臋puj膮co:
Witaj!
Otrzyma艂am Tw贸j adres od naszego wsp贸lnego znajomego. Od niedawna u偶ywam Internetu i jest to m贸j pierwszy lisy elektroniczny!!! Nasz wsp贸lny przyjaciel powiedzia艂 mi, 偶e je艣li b臋d臋 mia艂a jakie艣 pytania mog臋 zwr贸ci膰 si臋 do Ciebie... Jestem 艂adna i towarzyska. (Zobacz za艂膮czone zdj臋cie) Czekam na Twoj膮 odpowied藕!!! Napisz co艣 o sobie i co chcia艂by艣 wiedzie膰 o mnie. Pa pa! :)))))))))
Sveta Kovaleva
Dodatkowo robak instaluje si臋 w systemie i infekuje klika plik贸w systemowych, jak r贸wnie偶 wysy艂a has艂a i inne poufne informacje o zaatakowanym komputerze.
Aby ukry膰 swoje dzia艂anie robak wy艣wietla obrazek przedstawiaj膮cy dziewczyn臋. OBRAZEK
Infekowanie systemu
Po uruchomieniu robak instaluje si臋 w systemie na klika sposob贸w. Po pierwsze, infekuje pliki zapisane w katalogu Windows.
MPLAYER.EXE, WINHLP32.EXE, NOTEPAD.EXE, CONTROL.EXE, SCANREGW.EXE
Wirus zmienia rozszerzenia tych plik贸w na .VXD, po czym kopiuje si臋 na miejsce oryginalnych plik贸w z rozszerzeniem .EXE.
Nast臋pnie wirus umieszcza klika swoich dodatkowych kopii: SCANREGW_EXE oraz LOADPE.COM do katalogu systemowego Windows oraz IFNHLP.SYS katalogu Windows. Plik LOADPE.COM jest umieszczany w sekcji auto-run rejestru systemowego:
HKCRexefileshellopencommand = LOADPE.COM
Podczas uruchamiania dowolnego pliku Win32 EXE jest on infekowany przez kopi臋 wirusa.
Nast臋pnie plik SCANREGW.EXE jest umieszczany w sekcji auto-run rejestru systemowego:
HKLMSoftwareMicrosoftWindowsCurrentVersion
RunServices ScanRegistry = %SystemDir%scanregw.exe
Informacje wysy艂ane przez robaka
Robak wysy艂a z zainfekowanego komputera nast臋puj膮ce informacje:
- has艂a i loginy umo偶liwiaj膮ce zdalny dost臋p do zaatakowanej maszyny;
- has艂a i loginy lokalnej sieci;
- informacje o programach BCSoft NetLaunch, PySoft AutoConnect oraz CureFtp (je艣li s膮 zainstalowane);
- parametry systemowe program贸w Netscape i TheBat! (je艣li s膮 zainstalowane);
- list臋 serwer贸w ftp FAR (je艣li istnieje);
- has艂a FIDO ftp (je艣li istniej膮);
- konfiguracj臋 systemu i inne informacje systemowe.