UW-Blog

Hi,

Wczoraj zostałem poproszony o rzucenie okiem na kompa, z zainstalowanym systemem Windows XP, na którym “nie działało” otwieranie dysków poprzez dwuklik na ikonkę dysku w Moim Komputerze. Powodem okazał się worm, napisany w VBS, przedstawiający się jako “Slow but sure V0.05″. Worm ma coś ponad 50 unicode’owych linijek, i niezwykle prostą i skuteczną zasadę działania. Mianowicie, ofiara dostaje worm’a na przenośnym nośniku (np. pendrive) na którym worm wcześniej utworzył dwa pliki:

• autorun.inf - z rozkazem wykonania (shellexecute) komendy “wscript.exe MS32DLL.dll.vbs”
• MS32DLL.dll.vbs - kopia worma

Po włożeniu nośnika i dwukliku na jego ikonę Windows (nie wiem jak na SP 2, komputer z którym miałem do czynienia był offline i nie miał SP żadnego) pięknie uruchamia polecenie o którym mowa w autorun.inf. Uruchomiony worm kopiuje siebie oraz autorun.inf do roota każdego dysku. Po za tym wykonywana jest kopia worma do katalogu Windows’a. Worm tworzy dodatkowo 3 wpisy w rejestrze:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL - z wartością C:\Windows\MS32DLL.dll.vbs (przy czym wartość zależy od faktycznej ścieżki do Windows’a)
• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title - z wartością “Hacked by Godzilla”
• HKCR\vbsfile\DefaultIcon - z wartością “shell32.dll,2″

Po czym zasypia na 200 sekund, chyba że natknie się na dysk typu “Removable”. W przypadku gdyby natknął się na taki dysk uruchamia polecenie “c:\windows\explorer.exe /e,/select, SCIEZKA_DO_SKRYPTU”. I tyle. A, zapomniałem dodać że autorun.inf oraz plik skryptu mają atrybuty poustawiane na ASHR.

Usunięcie worm’a jest proste. Mianowicie wystarczy skillować (ctrl+shift+esc) wszystkie wscript.exe, po czym usunąć pliki autorun.inf i MS32DLL.dll.vbs z rootów dysku i katalogu Windows’a. Ewentualnie (;p) można jeszcze usunąć dodane wpisy w rejestrze.

OK tyle ;>

G.C.