I-Worm.Puron

Kolejny robak rozprzestrzeniający się za pośrednictwem poczty elektronicznej. Atakuje pliki Windows EXE. Robak obarczony jest błędami i w niektórych przypadkach zawiesza komputer lub niszczy zarażane pliki.

Kod robaka zawiera podpis jego autora:

(c)Vecna
Vecna is a punk rocker now…

Robak może dostać się do komputera z sieci lokalnej lub poprzez uruchomienie zainfekowanego pliku.

Gdy program zostanie uruchomiony, wybiera z pliku – nosiciela swój „czysty” kod (jego zasadnicza część to plik Win32 PE EXE o rozmiarze 9.5 KB), zapisuje go w katalogu TEMP systemu Windows z losowo wybraną nazwą (na przykład LNBAMKON.EXE, MMCAAHAN.EXE) i uruchamia ten plik.

Gdy kod wirusa przejmie kontrolę nad komputerem, kopiuje swój plik (pierwsza kopia) do katalogu Windows i tworzy w nim odpowiadający mu klucz rejestru:

HKLM\SOFTWARE\Microsoft\ WindowsCurrentVersion\ Explorer\Shell Folders Common Startup = %startup%

Gdzie %startup% to nazwa w/w katalogu.

Następnie „mikrob” kopiuje swój kod (druga kopia) do pliku w katalogu %startup%, o nazwie złożonej z 9 losowo wybranych cyfr i z rozszerzeniem EXE, na przykład 00544102.EXE

Następnie robak uruchamia tę kopię w katalogu startowym i usuwa pierwszą wersję z katalogu tymczasowego.
Z powodu błędów zdarza się, że powyższy proces ulega przerwaniu i pierwsza kopia pozostaje w katalogu TEMP.

Gdy proces „wędrówki” plików jest zakończony, robak instaluje mechanizm ukrywania i rozpoczyna ataki na inne systemy, wysyłając wiadomości e-mail.
Mechanizm infekowania polega na wyszukiwaniu wykonywalnych plików Windows EXE i SCR, umieszczonych na lokalnych oraz sieciowych dyskach, a następnie infekowaniu ich. Proces ten polega na pobieraniu blok kodu z zarażanego pliku, kompresji jego fragmentu, dołączeniu kodu wirusa wstawieniu na powrót do „ciała” ofiary. W ten sposób wielkość infekowanego pliku przed i po zarażeniu nie wzrasta.
Robak wykorzystuje mechanizm mutacji polimorficznych, co sprawia, że jest on trudniejszy do wykrycia i wyleczenia.

Aby się rozprzestrzeniać robak łączy się z serwerem poczty SMTP i wysyła zarażone wiadomości wykorzystując adresy z książki adresowej Windows. Zarażona wiadomość ma format HTML o następujących parametrach:

Od: „Mondo bizarro”
Temat: Joey is dead, man… 🙁
Treść: A tribute to Joey Ramone (1951-2001)
Załącznik: ramones.mp3.exe

Robak wykorzystuje jedną z luk w zabezpieczeniach systemu MS Windows, odnalezioną w roku 2001. W rezultacie możliwe jest uruchamianie załącznika EXE bez wiedzy użytkownika. Gdy zarażona wiadomość e-mail jest otwierana do czytania lub przeglądania, robak automatycznie uruchamia plik EXE. Naprawiającą ten błąd „łatę” można pobrać z witryny Microsoftu.

Aby się ukryć, robak przejmuje wywołania systemu Windows FindFile i FindProcess (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Dzięki temu „zabiegowi” jego pliki nie są widoczne na liście procesów działających w systemie