I-Worm.Puron
Kolejny robak rozprzestrzeniający się za pośrednictwem poczty elektronicznej. Atakuje pliki Windows EXE. Robak obarczony jest błędami i w niektórych przypadkach zawiesza komputer lub niszczy zarażane pliki.
Kod robaka zawiera podpis jego autora:
(c)Vecna
Vecna is a punk rocker now…
Robak może dostać się do komputera z sieci lokalnej lub poprzez uruchomienie zainfekowanego pliku.
Gdy program zostanie uruchomiony, wybiera z pliku – nosiciela swój „czysty” kod (jego zasadnicza część to plik Win32 PE EXE o rozmiarze 9.5 KB), zapisuje go w katalogu TEMP systemu Windows z losowo wybraną nazwą (na przykład LNBAMKON.EXE, MMCAAHAN.EXE) i uruchamia ten plik.
Gdy kod wirusa przejmie kontrolę nad komputerem, kopiuje swój plik (pierwsza kopia) do katalogu Windows i tworzy w nim odpowiadający mu klucz rejestru:
HKLM\SOFTWARE\Microsoft\ WindowsCurrentVersion\ Explorer\Shell Folders Common Startup = %startup%
Gdzie %startup% to nazwa w/w katalogu.
Następnie „mikrob” kopiuje swój kod (druga kopia) do pliku w katalogu %startup%, o nazwie złożonej z 9 losowo wybranych cyfr i z rozszerzeniem EXE, na przykład 00544102.EXE
Następnie robak uruchamia tę kopię w katalogu startowym i usuwa pierwszą wersję z katalogu tymczasowego.
Z powodu błędów zdarza się, że powyższy proces ulega przerwaniu i pierwsza kopia pozostaje w katalogu TEMP.
Gdy proces „wędrówki” plików jest zakończony, robak instaluje mechanizm ukrywania i rozpoczyna ataki na inne systemy, wysyłając wiadomości e-mail.
Mechanizm infekowania polega na wyszukiwaniu wykonywalnych plików Windows EXE i SCR, umieszczonych na lokalnych oraz sieciowych dyskach, a następnie infekowaniu ich. Proces ten polega na pobieraniu blok kodu z zarażanego pliku, kompresji jego fragmentu, dołączeniu kodu wirusa wstawieniu na powrót do „ciała” ofiary. W ten sposób wielkość infekowanego pliku przed i po zarażeniu nie wzrasta.
Robak wykorzystuje mechanizm mutacji polimorficznych, co sprawia, że jest on trudniejszy do wykrycia i wyleczenia.
Aby się rozprzestrzeniać robak łączy się z serwerem poczty SMTP i wysyła zarażone wiadomości wykorzystując adresy z książki adresowej Windows. Zarażona wiadomość ma format HTML o następujących parametrach:
Od: „Mondo bizarro”
Temat: Joey is dead, man… 🙁
Treść: A tribute to Joey Ramone (1951-2001)
Załącznik: ramones.mp3.exe
Robak wykorzystuje jedną z luk w zabezpieczeniach systemu MS Windows, odnalezioną w roku 2001. W rezultacie możliwe jest uruchamianie załącznika EXE bez wiedzy użytkownika. Gdy zarażona wiadomość e-mail jest otwierana do czytania lub przeglądania, robak automatycznie uruchamia plik EXE. Naprawiającą ten błąd „łatę” można pobrać z witryny Microsoftu.
Aby się ukryć, robak przejmuje wywołania systemu Windows FindFile i FindProcess (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Dzięki temu „zabiegowi” jego pliki nie są widoczne na liście procesów działających w systemie