P2P-Worm.Win32.Cassidy

Technical Details

Интернет-червь, распространяющийся в «peer-to-peer» сетях Kazaa. Червь размножается создавая свои копии в общедоступных каталогах этой сети.

Червь является приложением Windows (PE EXE), написан на MS Visual C++, имеет размер около 205K.

При старте червь копирует себя с именем «CassieWorm.exe» в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
CassieWorm = %WindowsDir%CassieWorm.exe

Затем червь выводит ложное сообщение об ошибке:

WinZip Self-Extractor
Bad CRC checksum, terminating extraction.
If the file was downloaded please download it again.

Для распространения по сети Kazaa червь:

• создаёт подкаталог «Shared Folder» в каталоге Windows
• регистрирует этот каталог как каталог обмена файлами Kazaa, для этого создаёт ключ реестра:

HKCUSoftwareKazaaLocalContent
Dir0 = «012345:%WindowsDir%Shared Folder»
DisableSharing = 0

• считывает местоположение выполняемых файлов Kazaa из ключа:
  

  HKLMSOFTWAREKazaaCloudLoad
  ExeDir = %KazaaExeDir%

• регистрирует выполняемый файл системы Kazaa ключе авто-запуска:
  

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun KAZAA = «%KazaaExeDir%Kazaa.exe /SYSTRAY»

• копирует себя в каталог «Shared Folder» с именами:
  

  warcraft 3 maphack.exe
  counterstrike hack pack.exe
  diablo 2 pindlebot.exe
  diablo 2 maphack.exe
  playstation 2 emulator fanix.exe
  kazaa participation hack.exe
  cable modem ultility pack.exe
  winzip full version key generator.exe
  jamella’s diablo 2 editor.exe
  winamp plugin pack.exe
  pop-up killer.exe
  email forger.exe
  aim utilities.exe
  serials 2k.exe
  macromedia dreamweaver key generator.exe
  windows xp key generator.exe
  grand theft auto 3 key generator.exe
  hacking utilities.exe

  После инсталляции червь посылает своему «хозяину» на адрес «cassieworm@hotmail.com»
  письмо-нотифификацию, которое содержит:

  Заголовок: CassieWorm infected.
  Текст:

  CassieWorm infected on system:
  IP:
  Host Name:
  Registered User:
  Infected To:
  Local Time:
  Time Until Destruct:

  где в соответствующих строках располагается информация о зараженной машине.

  Проявление

  14 февраля 2003 года в 7:20 (локальное время на компьютере) червь уничтожает все файлы на всех
  доступных дисках.