Email-Worm.Win32.Petik

Technické údaje

Jedná se o červ, který se šíří jako soubor MADCOW.EXE o velikosti 8 kB, který je připojen k e-mailovým zprávám. Pro zasílání infikovaných zpráv využívá červa MS Outlook. Červ je také schopen poslat své kopie do kanálů IRC infikováním klienta mIRC.

První běh

Když se červa spouští poprvé (pokud uživatel klepne na přílohu EXE ke zprávě nebo akceptuje stahování z IRC), červ se zkopíruje do dvou souborů:

• systémový adresář systému Windows s názvem Wininet32.exe
• adresář systému Windows s názvem MadCow.exe

a registruje soubor MadCow.exe v sekci automatického spuštění:

• v souboru Win.ini, v sekci [windows], "run =" klíč – pod Win9x
• v registru systému v klíči Run = "pod WinNT

Červ potom vytvoří adresář C: WIN32 a vytvoří zde dva soubory (dávkový soubor DOS a program skriptu VBS):

ENVOIE.BAT – pouze spouští soubor ENVOIE.VBS (další soubor)
ENVOIE.VBS – tento skript šíří červa s infikovanými zprávami

Během šíření se skript připojí k aplikaci MS Outlook a odesílá infikované e-mailové zprávy na všechny adresy v adresáři MS Outlook. Zprávy obsahují následující:

Předmět: Pourquoi les vaches sont-elles folles?
Tělo: Nevyžaduje se žádný záznam na fólii
Příloha: MadCow.exe

Druhý běh

Po příštím spuštění (další restartování systému Windows) vytvoří červ svou kopii s názvem MadCow.exe v adresáři C: WIN32 a potom infikuje klienta mIRC v následujících adresářích:

C: MIRC
C: MIRC32
C: Program FilesMIRC
C: Programové souboryMIRC32

Infikovaný klient mIRC odešle kopii červa (soubor MadCow.exe) všem uživatelům, kteří se připojili k infikovanému kanálu.

jiný

Červ vytváří klíč registru: HKLMSoftware [Atchoum]

Není-li v systému nalezen žádný klient mIRC, červa vytvoří soubor MSLS.ICO v adresáři systému Windows, zapíše zde obrázek imp (devil) a zaregistruje jako standardní ikonu souborů EXE.

Červ obsahuje také následující textové bodky v těle:

IWorm.MadCow par PetiK (c) 2000
Miluji tě Maya / Je t'aime