Email-Worm.Win32.Wargame

Jest to robak rozprzestrzeniaj膮cy si臋 przez internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 77 KB (kompresja ASProtect). Szkodnik powsta艂 przy u偶yciu 艣rodowiska programistycznego Borland C++.

Charakterystyka zainfekowanych wiadomo艣ci e-mail

  • Temat:
    Mail to %Odbiorca%
    

  • Tre艣膰:
    I send you this patch.
    It corrects a bug into Internet Explorer and Outlook.
    

  • Nazwa za艂膮cznika: patch.exe, article.doc.exe lub funny.exe

Robak aktywuje si臋 tylko wtedy, gdy u偶ytkownik uruchomi za艂膮cznik zainfekowanej wiadomo艣ci e-mail.

Instalacja

Po uruchomieniu robak kopiuje si臋 do folderu systemowego Windows z nazw膮 article.doc.exe oraz z losow膮 nazw膮 EXE (przyk艂adowo WVUUQ.EXE), po czym rejestruje drug膮 kopi臋 w nast臋puj膮cych sekcjach systemu:

  • w systemach Windows 9x/Me: WIN.INI, sekcja [windows], polecenie "run=",
  • w systemach Windows NT/2000/XP: rejestr systemowy, klucz "Run=".

Dodatkowo robak tworzy nast臋puj膮cy klucz rejestru:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm
DisplayName = Wargames Uninstall
UninstallString = rundll32 mouse,disable

Szkodnik podejmuje pr贸by zamykania nast臋puj膮cych proces贸w:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LOAD.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

Rozprzestrzenianie - poczta elektroniczna

W celu wysy艂ania zainfekowanych wiadomo艣ci e-mail robak wykorzystuje trzy mechanizmy:

  • Skanuje pliki *.HT*, *.DOC oraz *.XLS zapisane w folderach: Windows, Pulpit, Ulubione oraz Temporary Internet Files i pobiera z nich adresy e-mail.

  • Tworzy w folderze Windows plik wargames.vbs, zapisuje w nim skrypt VBS i uruchamia go. Skrypt wysy艂a zainfekowane wiadomo艣ci e-mail do wszystkich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej programu MS Outlook.

  • Na koniec korzystaj膮c z funkcji MAPI systemu Windows robak odpowiada na wszystkie wiadomo艣ci e-mail zapisane w Skrzynce odbiorczej.