Червь-троянец, распространяющийся по IRC-каналам. Имеет размер 155KB, написан на Delphi. Упакован UPX, размер распакованного файла - более 400KB.
Распространение
При своем запуске червь проверяет наличие запущенного на машине IRC-клиента. Если такой обнаружен и активен, червь отсылает, каждые 4 минуты, при помощи команды /amsg, во все доступные IRC-каналы, текстовую строку-линк на удаленный сайт:
http://www.angelfire.com/[censored]/picsx/britney.jpg <- uuh, check it out !!
а также пытается установить данную ссылку в качестве названия канала и комментария к нему.
Если другой пользователь нажмет на данную ссылку, то произойдет обращение к удаленному сайту, содержащему вредоносный VBS-скрипт (детектируется как TrojanDropper.VBS.Psyme), который установит и запустит на компьютере пользователя исполняемый файл червя "patch.exe".
Для установки и запуска используется уязвимость в Microsoft Media Player, в результате чего оригинальный файл "wmplayer.exe" замещается на загруженный из Интернета вредоносный код.
Инсталляция
Червь копирует себя в системный каталог Windows с именами:
C:Windowssystem32userinit32.exe
C:Windowssystem32dllhost32.exe
и регистрирует эти файлы в ключе автозапуска системного реестра:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit" = "C:Windowssystem32userinit32.exe"
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"dllhost32" = "C:Windowssystem32dllhost32.exe"
Также червь копирует себя в другие каталоги с произвольными именами из списка:
C:WindowsNOTEPAD.EXE
C:WINDOWSsystem32userinit.exe
C:windowssystem32progman.exe
C:windows egedit.exe
C:windowssystem32 toskrnl.exe
C:windowssystem32autochk.exe
C:windowssystem32chkntfs.exe
C:windowssystem32shutdown.exe
C:windowssystem32 tkrnlpa.exe
C:windowssystem32alg.exe
C:windowssystem32 ootok.exe
C:windowssystem32chcp.exe
C:windowssystem32ctfmon.exe
C:windowssystem32dumprep.exe
C:windowssystem32imapi.exe
C:windowssystem32logon.exe
C:windowssystem32MDM.exe
C:windowssystem32 ecover.exe
C:windowssystem32services.exe
C:windowssystem32systray.exe
C:windowssystem32win.exe
C:windowssystem32wowexec.exe
C:windowssystem32wuauclt.exe
Червь выводит на экран ложное сообщение об ошибке:
Error
Error in memory block: #A5487F.
Прочее
Червь удаляет из системного реестра несколько ключей:
[HKCUSoftwareMicrosoftInternet ExplorerDesktopSafeMode]
[HKCUPrinters]
[HKCUSeccionInformation]
[HKLMSYSTEMControlSet001ControlSafeBoot]
[HKLMSYSTEMControlSet003ControlSafeBoot]
[HKLMSYSTEMCurrentControlSetControlSafeBoot]
[HKLMSYSTEMMountedDevices]
[HKLMSYSTEMLastKnownGoodRecovery]
[HKLMSYSTEMControlSet001ControlContentIndexCatalogsSystem]
[HKLMSYSTEMControlSet001ControlBiosinfo]
а также
[HKLMHARDWARE]
[HKLMSAM]
[HKLMSECURITY]
[HKLMSOFTWARE]
[HKLMSYSTEM]
Изменяет стартовую страницу Internet Explorer, изменяя существующую в системном реестре:
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Start Page" = "www.blacksnake.com"
Создает несколько ключей-идентификаторов своего присутствия в системе:
[HKCUSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"DefaultUserName" = "COCK_SUCKING_FAGGOT"
"AltDefaultUserName" = "COCK_SUCKING_FAGGOT"
Червь удаляет различные системные файлы:
C:windows egedit.exe
C:windowscmd.exe
C:windowssystem32 askman.exe
C:windowssystem32 askmgr.exe
C:windowssystem32 egedt32.exe
C:windowssystem32 egsvr32.exe
C:windowsTASKMAN.exe
C:windowssystem32autochk.exe
C:windowssystem32chkntfs.exe
C:windowssystem32chkdsk.exe
C:windowssystem32shutdown.exe
C:windowsNOTEPAD.exe
C:WINDOWSsystem32userinit.exe
C:windowssystem32progman.exe
C:windowssystem32 toskrnl.exe
C:windowssystem32 tkrnlpa.exe
C:windowssystem32alg.exe
C:windowssystem32 ootok.exe
C:windowssystem32chcp.exe
C:windowssystem32ctfmon.exe
C:windowssystem32dumprep.exe
C:windowssystem32 ecover.exe
C:windowssystem32imapi.exe
C:windowssystem32logon.exe
C:windowssystem32MDM.exe
C:windowssystem32services.exe
C:windowssystem32systray.exe
C:windowssystem32win.exe
C:windowssystem32wowexec.exe
C:windowssystem32wuauclt.exe
При запуске червь проверяет наличие в памяти некоторых процессов и пытается остановить их работу:
Ad-watch.exe
regedit.exe
taskmgr.exe
FSGK32.EXE
FSM32.EXE
FSMA32.EXE
FSMB32.EXE
FWENC.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
NAV Auto-Protect
NAVAPSVC.EXE
NMAIN.EXE
NORMIST.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
NPSSVC.EXE
NSCHED32.EXE
NTVDM.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZAUINST.EXE
ZONALM2601.EXE
ZONEALARM.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ccEvtMgr.exe
ccSetMgr.exe
FSAV32.exe
FSMA32.exe
FSMB32.exe
FSSM32.exe
AVNT.exe
AVP.exe
BLACKICE.exe
FPROT.exe
FP-WIN.exe
N32SCANW.EXE
NAVAPW32.EXE
PAVCL.EXE
PAVSCHED.EXE
WFINDV32.EXE
NAVW32.EXE
NAVW32.EXE
BlackICE.exe
Данный червь очень похож на Worm.P2P.Delf.k, с тем отличием, что процедура размножения через P2P заменена на IRC. Оба червя используют один и тот же вредоносный скрипт для внедрения на компьютеры.