Kolejny wirus
Kaspersky Lab informuje o pojawieniu się nowego wirusa - Krepper. Jest to robak rozprzestrzeniający się za pośrednictwem sieci P2P. Ma postać pliku PE EXE o rozmiarze około 17 KB (kompresja UPX, rozmiar po rozpakowaniu - około 45 KB). Po uruchomieniu szkodnik szuka zainstalowanego programu VMWare. W przypadku jego braku część funkcji szkodnika jest wyłączona.
Po uruchomieniu robak kopiuje się do folderu systemowego Windows z nazwą sndcfg16.exe i tworzy w rejestrze systemowym klucz auto-run:
[Software\Microsoft\Windows\CurrentVersion\Run]
Services = %nazwa robaka%
Robak rozprzestrzenia się za pośrednictwem sieci P2P. Po uruchomieniu skanuje system w poszukiwaniu wszystkich popularnych klientów P2P (m.in. Morpheus, iMesh, eDonkey, LimeWire czy Kazaa
Następnie szkodnik umieszcza swoje kopie (z losowymi nazwami - plik exe, mający w nazwie "crack", "keygen", "antitrojan"), wybieranymi spośród poniższych możliwości) w folderach współdzielonych w sieciach P2P:
Procedura infekująca sieci P2P aktywowana jest co 10 minut.
Po zainfekowaniu dostępnych sieci P2P robak szuka następujących folderów:
share*
download*
music*
mp3*
i tworzy w nich plik BAT posiadający losową nazwę. Uruchomienie tego pliku aktywuje program, który w momencie zamykania przez użytkownika jakiegokolwiek procesu usuwa plik robaka z dysku.
Co jedną sekundę robak sprawdza obecność własnego klucza w rejestrze systemowym i w razie potrzeby odtwarza go. Szkodnik wyposażony jest w procedurę pobierającą pliki z internetu i instalującą je.
Robak może wyświetlać na ekranie zainfekowanego komputera następujące komunikaty:
Key Generator
-------------
Unable to load geneneration tables.
Check tables.gen is in current directory.
Crack Engine
------------
Unable to patch file.',0Ah,'Must be in same folder
Ponadto szkodnik łączy się z kanałami IRC w celu informowania hakera o zainfekowanych komputerach.
Więcej: http://www.kaspersky.pl/about.html?s=news&newsid=622
