Ruská antivirová společnost KasperskyLab ohlásila rozšíření nového červa, který pojmenovala jako I-Worm.Badtrans.
Ruská antivirová společnost KasperskyLab ohlásila rozšíření nového červa, který pojmenovala jako I-Worm.Badtrans. Jedná se o 13kB program (v komprimované podobě), který je schopen se šířit e-mailem bez vědomí uživatele pod platformou Win32. Zároveň ale obsahuje trojského koně, který umí odesílat e-mailem informace o infikovaném počítači autorovi. Samotné šíření probíhá obdobně jako u červa ExploreZip. Pomocí rozhraní MAPI odpoví na všechny dosud nepřečtené zprávy ve výchozím e-mailovém klientovi - pošle sám sebe jako přílohu ve zprávě.
Při jeho prvním spuštění se jako první rozbalí jednotlivé komponenty do systému Windows - do adresáře Windows červ zkopíruje svoje tělo pod jménem INETD.EXE a trojského koně pod jménem HKK32.EXE. Trojský kůň se vzápětí spustí, přesune svoje tělo a knihovnu na odchytávání stisknutých kláves do systémového adresáře Windows pod jménem KERN32.EXE a HKSDLL.DLL a smaže HKK32.EXE. Zároveň se vytvoří v systémovém adresáři pomocný soubor CP_23421.NLS, kam trojský kůň ukládá svoje interní data.
Potom modifikuje registry, případně soubor win.ini (záleží na verzi Windows) tak, aby byly soubory INETD.EXE a KERN32.EXE spouštěny při každém dalším startu počítače. Potom zobrazí falešnou systémovou hlášku a ukončí se:
Install error
File data corrupt: probably due to bad data transmission or bad disk access.
Potom už jen čeká na příští start počítače, do té doby jeho činnost skončila. Po restartu červ sebe zaregistruje jako servisní proces (tzn. že není vidět v seznamu procesů po stisku CTRL+ALT+DEL), počká 5 minut a začne se šířit. Jméno přílohy infikované zprávy se náhodně vybere ze seznamu:
Pics.ZIP.scr, images.pif, README.TXT.pif, New_Napster_Site.DOC.scr, news_doc.scr, hamster.ZIP.scr YOU_are_FAT!.TXT.pif, searchURL.scr, SETUP.pif, Card.pif, Me_nude.AVI.pif, Sorry_about_yesterday.DOC.pif s3msong.MP3.pif, docs.scr, Humor.TXT.pif, fun.pif
Předmět zprávy zůstává stejný, jenom se před něj přidá "Re:".
Tento červ není svým způsobem šíření nikterak zajímavý, až na jednu věc. Tou je jeho chyba při výměně zpráv. Aby se červ neodesílal na stejnou adresu víckrát než jednou, přidá si za "předmět" infikované zprávy svou značku - dvě mezery. Pokud má dosud nepřečtená zpráva tyto dvě mezery v poli "předmět", červ na ni už neodpoví. Naneštěstí, podle normy RFC-822 je možné tyto "bílé znaky" z předmětu odstranit a mnohé e-mailové servery to také tak dělají. Výsledkem je, že si dvě kopie červa na dvou různých počítačích nepřetržitě odpovídají na stejné maily přes jeden server a tak jej mohou velmi brzy úplně zahltit. To je zřejmě také důvod pojmenování červa na Badtrans (přeloženo do češtiny: špatný/chybný přenos).
Tento červ by měly detekovat všechny přední antivirové programy. Pokud chcete mít jistotu, že váš počítač není infikován, stáhněte si aktualizační soubory.
