Worm.Stator

Robak internetowy rozprzestrzeniający się poprzez pocztę elektroniczną. Wirus może się rozprzestrzeniać tylko na komputerach z zainstalowanym klientem pocztowym TheBat!. W celu wysyłania zainfekowanych wiadomości robak wykorzystuje protokół SMTP i łączy się z serwerem smtp.mail.ru.

Temat oraz treść wiadomości napisane są w języku rosyjskim. Nazwa załączonego pliku (PE EXE) to photo1.jpg.pif.

Przetłumaczona treść wiadomości wygląda następująco:

Witaj!

Otrzymałam Twój adres od naszego wspólnego znajomego. Od niedawna używam Internetu i jest to mój pierwszy list elektroniczny!!! Nasz wspólny przyjaciel powiedział mi, że jeśli będę miała jakieś pytania, mogę zwrócić się do Ciebie…

Jestem ładna i towarzyska. (Zobacz załączone zdjęcie) Czekam na Twoją odpowiedź!!! Napisz coś o sobie i co chciałbyś wiedzieć o mnie. Pa pa! :)))))))))

Sveta Kovaleva

Dodatkowo robak instaluje się w systemie i infekuje klika plików systemowych, jak również wysyła hasła i inne poufne informacje o zaatakowanym komputerze.

Aby ukryć swoje działanie, robak wyświetla obrazek przedstawiający dziewczynę.

Po uruchomieniu robak instaluje się w systemie na kilka sposobów. Po pierwsze, infekuje pliki MPLAYER.EXE, WINHLP32.EXE, NOTEPAD.EXE, CONTROL.EXE oraz SCANREGW.EXE zapisane w katalogu Windows.

Wirus zmienia rozszerzenia tych plików na .VXD, po czym kopiuje się na miejsce oryginalnych plików z rozszerzeniem .EXE.

Następnie umieszcza kilka swoich dodatkowych kopii: SCANREGW_EXE oraz LOADPE.COM do katalogu systemowego Windows oraz IFNHLP.SYS katalogu Windows. Plik LOADPE.COM jest umieszczany w sekcji auto-run rejestru systemowego:

HKCR\exefile\shell\open\command = LOADPE.COM

Podczas uruchamiania dowolnego pliku Win32 EXE jest on infekowany przez kopię wirusa.

Następnie plik SCANREGW.EXE jest umieszczany w sekcji auto-run rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices ScanRegistry = %SystemDir%\scanregw.exe

Robak wysyła z zainfekowanego komputera następujące informacje:

hasła i loginy umożliwiające zdalny dostęp do zaatakowanej maszyny;

hasła i loginy lokalnej sieci;

informacje o programach BCSoft NetLaunch, PySoft AutoConnect oraz CureFtp (jeśli są zainstalowane);

parametry systemowe programów Netscape i TheBat! (jeśli są zainstalowane);

listę serwerów ftp FAR (jeśli istnieje);

hasła FIDO ftp (jeśli istnieją);

konfigurację systemu i inne informacje systemowe.