P2P-Worm.Win32.Gotorm

Technické údaje

Jedná se o virus Worm. Rozšiřuje se prostřednictvím sítě peer-to-peer Kazaa. Dále provádí některé funkce spywaru a shromažďuje data o určitých hrách nainstalovaných na postiženém počítači. Tento červa je aplikace systému Windows (soubor PE-EXE). Je napsán ve Visual C a jeho velikost je 196 608 bajtů.

Instalace

Během instalace vytvoří červ následující chybová chybová zpráva týkající se extrakce archivu:

Následně se zapíše do adresáře Windows pod následujícím názvem:

mrowyekdc.exe

Tato instalace červa je registrována v klíči automatického spuštění v registru systému:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  SVCHOST =% WindowsDir% mrowyekdc.exe 

Šíření

Červ vytvoří složku s názvem "Uživatelské soubory" v adresáři Windows a zapíše se do něj pod následujícími názvy:

Starcraft + Broodwar 1,10 mapa hack.exe
Starcraft + Broodwar 1,10 no-cd hack.exe
Diablo 2 mapuje hack.exe
Diablo 2 ne-cd hack.exe
Jamella je Diablo 2 hero editor.exe
Warcraft 3 mapa hack.exe
Warcraft 3 stat hack.exe
Warcraft 3 ne-cd hack.exe
Warcraft 3 Frozen Throne mapa hack.exe
Warcraft 3 Zmrazený trůn cd-cd hack.exe
Frozen Throne map hack.exe
Counterstrike hacks.exe
Counterstrike cíl hack.exe

Tato složka je pak v systému registru systému Windows označena jako lokální obsah pro síť Kazaa:

 HKCUSoftwareKazaaLocalContent  dir0 = 012345:% Windir% Uživatelské soubory  DisableSharing = "0 

V důsledku toho jsou soubory obsažené v této složce k dispozici ke stažení ostatním uživatelům P2P sítí.

Funkce Spy

Červ kontroluje systémový klíč pro klíče související s populárními počítačovými hrami (Counter Strike, Diablo, Warcraft, Starcraft) a odešle shromážděná data na "majitele" červa pomocí připojení SMTP serveru.

Smíšený

Červ kontroluje datum a čas systému. Pokud měsíc aktivace červa je starší než srpen, přestane fungovat a vymaže všechny jeho položky v registru systému.