Stator - zamienia oryginalne pliki na własne kopie

Krzysztof Arkuszewski,
30.04.2001

Stator jest robakiem internetowym, który poza rozsyłaniem się pocztą elektroniczną za pośrednictwem rosyjskiego serwera, zamienia pliki wykonywalne typu .exe na własne kopie.

Robak zwykle pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego napisanego w języku rosyjskim. Nazwa pliku załącznika to Photo1.jpg.pif.

Po uruchomieniu przez użytkownika pliku załącznika robak aktywizuje się i zaczyna procedurę rozprzestrzeniania się. Polega ona na zmianie nazw niektórych plików z rozszerzeniem .exe na te same nazwy tylko z rozszerzeniem .vxd. W miejsce oryginalnych plików robak tworzy własne kopie o nazwach oryginalnych plików. Dotyczy to plików: notepad.exe, control.exe, mplayer.exe, winhlp32.exe, ifnhlp.sys.

Zobacz również:

Google zmienia algorytmy - więcej reklam w Gmailu

Ponadto robak tworzy własne kopie w plikach loadpe.com i scanregw.exe, umiejscowionych w katalogu systemu Windows. Ponadto Stator modyfikuje Rejestr tak, by jego kopia w pliku scanregw.exe była uruchamiana przy każdym starcie systemu Windows oraz uruchamianiu plików z rozszerzeniem .exe. W efekcie wszystkie uruchomione programy sukcesywnie stają się kopiami robaka.

Na koniec robak rozsyła się przy użyciu poczty elektronicznej, przy czym tworzy własny list z fałszywymi nagłówkami, a następnie łączy się z serwerem SMTP w Rosji i za jego pomocą rozsyła własne kopie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem IDGLicensing@theygsgroup.com