1. Strona główna
  2. Wiadomości

Robak Silver - rozsyła się e-mailem, IRC-em i w sieci lokalnej

  • Krzysztof Arkuszewski,

Silver jest groĄnym robakiem internetowym, rozsyłającym się za pomocą poczty elektronicznej, na kanałach IRC-a, a także infekującym pliki w sieci lokalnej.

Ponadto wprowadza duże zmiany w Rejestrze systemu Windows, co zwykle prowadzi do nieprawidłowego działania systemu.

Do rozsyłania się pocztą robak stosuje dwie metody. Najpierw stara się skorzystać z programu do obsługi poczty elektronicznej o nazwie Eudora, poprzez podebranie adresów z ostatnio wysłanych wiadomości znajdujących się w pliku outbox.mbx, a następnie wysyła do nich list zawierający kopię Silvera o następującej treści:

<b>Temat:</b> <i>concerning last week ...</i>

<b>Treść:</b> <i>Please review the enclosed and get back with me ASAP.

Double click the Icon to open it.</i>

<b>Załącznik:</b><i> c:\silver.exe</i>

Następnie robak używając standardowych funkcji MAPI odnajduje adresy i stara się wysłać list elektroniczny o treści:

<b>Temat:</b> <i>Re: now this is a nice pic :-)</i>

<b>Treść: </b> <i>Thought you might be interested in seeing her</i>

<b>Załącznik:</b> <i>naked.jpg.exe</i>

Po tym Silver przystępuje do fazy rozprzestrzeniania się poprzez IRC, nadpisując w tym celu skrypty programów mIRC i Pirch98. Od tego momentu kopia robaka jest przesyłana do wszystkich uczestników kanału.

Zobacz również:

Kolejnym etapem działania robaka jest skanowanie napędów od c: do z: w poszukiwaniu katalogu Windows. Następnie Silver kopiuje się do tych katalogów i umieszcza wpis w pliku win.ini oraz w Rejstrze, powodujący uruchamianie robaka przy każdym starcie systemu.

Ponadto robak tworzy własne kopie w katalogu c:\windows o nazwach: silver.exe, silver.vxd, naked.jpg.exe, naked.jpg.scr oraz w katalogu głównym w pliku silver.exe.

Na koniec robak zmienia ponad 100 wpisów w Rejestrze dotyczących przypisania odpowiednich aplikacji do określonych rozszerzeń. W wyniku tego działania przypisane aplikacje zamieniane są na ścieżkę do pliku silver.vxd.

Dotyczy to następujących wpisów w Rejestrze:

<table border="0"><tr valign="top">

<td>

accessthmltemplate

AIFFFILE

AllaireTemplate

anifile

artfile

aspfile

AudioCD

aufile

AVIFile

Briefcase

cdafile

Chat

CSSfile

curfile

Drive

DrWatsonLog

Excel.Workspace

ftp

giffile

helpfile

hlpfile

htfile

htmlfile

http

https

icofile

icquser

inifile

iqyfile

IVFfile

jpegfile

JSFile

ldap

mailto

mic

MIDFile

money

MOVFile

MEGFILE

</td>

<td>

MPlayer

mscfile

msee

msgfile

MSProgramGroup

Net2PhoneApp

NetscapeMarkup

news

nntp

Notes.Link

ossfile

outlook

PBrush

pcxfile

pngfile

powerpointhtmlfile

ramfile

RealMedia File

regedit

regfile

SHCmdFile

SoundRec

tgafile

txtfile

VBSFile

wab_auto_file

Winamp.File

WinRAR

WinRAR.ZIP

WinZip

wrifile

WSFFile

x-internet-signup

xbmfile

xmlfile

xnkfile

xslfile

m3ufile

ASFFile

</td>

<td>

ASXFile

BeHostFile

ChannelFile

chm.file

CMCD

Connection-

-ManagerProfile

eybfile

fndfile

fonfile

GatewayFile

htafile

icsfile

mhtmlfile

MMS

MMST

MMSU

NSM

MSBD

motiffile

Msi.Package

Msi.Patch

ofc.Document

ofx.Document

pjpegfile

PNM

qwb.Document

rtsp

scpfile

scriptletfile

SSM

ThemeFile

TIFImage.Document

ttffile

WangImage.-

-Document

Whiteboard

WIFImage.Document

WSHFile

</td>

</tr></table>

Oryginalne ustawienia są zachowywane w kluczu: HKLM\Software\Silver Rat.

Potem robak usuwa kopie zapasowe rejestru w plikach user.da0, system.da0, system.1st, a także pliki sum kontrolnych i baz wirusów znanych programów antywirusowych. Zazwyczaj takie działanie Silvera powoduje co najmniej niestabilne działanie systemu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem IDGLicensing@theygsgroup.com