Instalacja

Robak kopiuje swój plik wykonywalny w następujący sposób:

%System%.dll
%Program Files%Internet Explorer.dll
%Program Files%Movie Maker.dll
%All Users Application Data%.dll
%Temp%.dll
%System%.tmp
%Temp%.tmp

(rnd) jest ciągiem losowych symboli

Robak tworzy usługę w celu zapewnienia sobie uruchamiania się wraz z każdym startem systemu Windows na zainfekowanym komputerze. Tworzony jest następujący klucz rejestru:

[HKLMSYSTEMCurrentControlSetServices etsvcs]

Robak modyfikuje również następującą wartość klucza rejestru:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs" = "(oryginalna wartość)
%System%(rnd).dll"

Rozprzestrzenianie za pośrednictwem sieci

Podczas infekowania komputera robak uruchamia serwer HTTP na losowo wybranym porcie TCP. Jest on następnie wykorzystywany do załadowania pliku wykonywalnego robaka na innych komputerach.

Robak uzyskuje adresy IP komputerów znajdujących się w tej samej sieci co zaatakowana maszyna i atakuje je za pośrednictwem luki przepełnienia buforu (MS08-067) w usłudze Serwer (więcej informacji o tej luce można znaleźć na stronie Microsoftu: www.microsoft.com).

Robak wysyła do zdalnych maszyn specjalnie utworzone zapytanie RPC, które powoduje przepełnienie bufora, gdy zostanie wywołana funkcja wcscpy_s w netapi32.dll. Powoduje to uruchomienie kodu, który pobiera plik robaka, uruchamia i instaluje go na nowej maszynie ofiary.

Aby wykorzystać opisaną wyżej lukę, robak próbuje połączyć się z kontem administratora na zdalnej maszynie. Robak wykorzystuje następujące hasła w celu przeprowadzenia ataku typu "brute force" na konto:

Rozprzestrzenianie za pośrednictwem przenośnych nośników danych

Robak kopiuje swój plik wykonywalny na wszystkie przenośne nośniki danych w następujący sposób:

(X):RECYCLERS-(%d%)-(%d%)-(%d%)-(%d%)-(%d%)-(%d%)-(%d%)(rnd).vmx

rnd jest losowym ciągiem symboli pisanych małą literą; d jest losową liczbą; x jest dyskiem

Robak umieszcza również następujący plik w katalogu głównym każdego dysku:

(X):autorun.inf

Dzięki temu plik wykonywalny robaka będzie uruchamiany za każdym razem, gdy użytkownik otworzy zainfekowany dysk przy pomocy Windows Explorera.

Funkcje szkodnika

Podczas uruchamiania robak wstrzykuje swój kod do przestrzeni adresowej jednego z procesów systemowych “svchost.exe”. Kod ten jest odpowiedzialny za funkcje szkodliwe robaka obejmujące:

• wyłączanie następujących usług:

  wuauserv
  BITS
  

• blokowanie adresów zawierających następujące ciągi:

  indowsupdate
  wilderssecurity
  threatexpert
  castlecops
  spamhaus
  cpsecure
  arcabit
  emsisoft
  sunbelt
  securecomputing
  rising
  prevx
  pctools
  norman
  k7computing
  ikarus
  hauri
  hacksoft
  gdata
  fortinet
  ewido
  clamav
  comodo
  quickheal
  avira
  avast
  esafe
  ahnlab
  centralcommand
  drweb
  grisoft
  eset
  nod32
  f-prot
  jotti
  kaspersky
  f-secure
  computerassociates
  networkassociates
  etrust
  panda
  sophos
  trendmicro
  mcafee
  norton
  symantec
  microsoft
  defender
  rootkit
  malware
  spyware
  virus
  

Robak może również pobierać pliki z adresów poniższego typu:

http://(URL)/search?q=(%rnd2%)

rnd2 jest losową liczbą. URL jest adresem stworzonym przez specjalny algorytm wykorzystujący aktualną datę. Robak uzyskuje aktualną datę z jednej z poniższych stron:

http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com

Pobrane pliki są zapisywane w katalogu głównym systemu Windows ze swoją oryginalną nazwą.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, możesz skorzystać ze specjalnego narzędzia do usuwania lub wykonać następujące operacje:

1. Usuń poniższy klucz rejestru systemowego:

   [HKLMSYSTEMCurrentControlSetServices etsvcs]

2. Usuń "%System%.dll" z poniższego parametru klucza rejestru systemowego:

   [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs"

3. Uruchom ponownie komputer
4. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
5. Usuń kopie robaka:

   %System%(rnd).dll
   %Program Files%Internet Explorer(rnd).dll 
   %Program Files%Movie Maker(rnd).dll
   %All Users Application Data%(rnd).dll 
   %Temp%(rnd).dll 
   %System%(rnd).tmp 
   %Temp%(rnd).tmp
   

   (rnd) jest losowym ciągiem symboli

6. Usuń poniższe pliki z wszystkich przenośnych nośników danych:

     
   (X):autorun.inf (X):RECYCLERS-(%d%)-(%d%)-(%d%)-(%d%)-(%d%)-(%d%)-(%d%)(rnd).vmx
   

   rnd jest losowym ciągiem symboli pisanych małą literą; d jest losową liczbą; x jest dyskiem

7. Pobierz i zainstaluj uaktualnienia dla systemu operacyjnego z poniższego adresu:

   http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
   

8. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).