P2P-Worm.Win32.Gotorm

Teknik detaylar

Bu bir Worm virüsüdür. Eşler arası ağ Kazaa ile yayılır. Ayrıca, bazı casusluk işlevleri gerçekleştirir, etkilenen PC'de yüklü bazı oyunlarda veri toplar. Bu solucan bir Windows uygulamasıdır (PE EXE dosyası). Visual C ile yazılmıştır ve boyutu 196 608 bayttır.

Kurulum

Kurulum sırasında solucan, arşiv çıkarımı ile ilgili aşağıdaki yanlış hata mesajını üretir:

Daha sonra kendini aşağıdaki ad altında Windows dizinine yazar:

mrowyekdc.exe

Solucanın bu yüklemesi, sistem kayıt defterindeki otomatik çalıştırma anahtarına kaydedilir:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  SVCHOST =% WindowsDir% mrowyekdc.exe 

Yayma

Solucan, Windows dizininde "Kullanıcı Dosyaları" adlı bir klasör oluşturur ve kendini aşağıdaki isimler altında yazar:

Starcraft + Broodwar 1.10 harita hack.exe
Starcraft + Broodwar 1.10 no-cd hack.exe dosyası nedir?
Diablo 2 harita hack.exe
Diablo 2 no-cd hack.exe
Jamella'nın Diablo 2 hero editor.exe
Warcraft 3 harita hack.exe
Warcraft 3 stat hack.exe
Warcraft 3 no-cd hack.exe
Warcraft 3 Frozen Throne Haritası hack.exe
Warcraft 3 Frozen Throne cd-cd hack.exe
Frozen Throne Haritası hack.exe
Counterstrike hacks.exe
Counterstrike amacı hack.exe

Bu klasör daha sonra Windows sistem kayıt defterinde Kazaa dosya değişimi ağı için Yerel İçerik olarak belirtilir:

 HKCUSoftwareKazaaLocalContent
  dir0 = 012345:% Windir% Kullanıcı Dosyaları
  DisableSharing = "0 

Sonuç olarak, bu klasörde bulunan dosyalar P2P ağlarının diğer kullanıcılarına indirilebiliyor.

Casus işlevi

Solucan, popüler bilgisayar oyunları (Counter Strike, Diablo, Warcraft, Starcraft) ile ilgili anahtarlar için sistem kayıtlarını kontrol eder ve bir SMTP sunucu bağlantısı kullanarak solucanın "sahibine" toplanan verileri gönderir.

Çeşitli

Solucan sistemin tarih ve saatini kontrol eder. Solucanın aktivasyonu ayı Ağustos ayından daha erken ise, işlevlerini yerine getirmeyi durdurur ve tüm kayıtlarını sistem kayıt defterinde siler.