Paukor - wykrada informacje
- Krzysztof Arkuszewski,
- 19.11.2001
Paukor jest robakiem internetowym, który, udając skompresowane archiwum, przechwytuje wszystko, co jest pisane na klawiaturze. Zdobyte w ten sposób informacje przesyła swojemu twórcy.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Temat: Pictures with your loved one
Treść:
Hi!
I'm sorry I have to send you these compromising pictures with the one you love, or you loved. :((
The quality is not so good because of the cheap camera, but you should be able to guess where they were taken.
I compressed it as a self extracting archive because
I didn't knew if you have WinZip. When you run it,
it should display the extract dialog.
I'm really sorry I had to be the one who told you about this. :((
Załącznik: Images_zipped.exe
Po uruchomieniu przez użytkownika pliku załącznika, robak tworzy w katalogu systemu Windows plik systray.exe. Modyfikuje również rejestr, tak by robak był uruchamiany przy każdym starcie systemu Windows. Uruchomiony systray.exe przechwytuje wszystkie naciśnięcia klawiszy i zapisuje je w pliku msp.dat w katalogu Windows, a następnie stara się je przesłać do swego autora. W ten sposób może wykraść wszystkie informacje.
Zobacz również:
Paukor tworzy również na dysku dwa pliki images_zipped.exe i msd.vbs, wykorzystywane do masowej dystrybucji. Dystrybucja ta polega na wysyłaniu kopii robaka za pośrednictwem poczty elektronicznej do wszystkich adresatów, znajdujących się w książce adresowej systemu Windows.
Ponadto robak modyfikuje plik autoexec.bat, by przy ponownym uruchomieniu komputera została usunięta zawartość katalogów Local Settings i History.
Na koniec, by zamaskować swoje działanie, robak wyświetla okienko dialogowe informujące o uszkodzeniu rzekomego archiwum.