Összefoglaló
A W32.Wabot egy trójai kártevő, amely IRC-n keresztül terjed.
Leírás
A következő fájlokat és registry bejegyzést hozza létre:
- %System%/sIRC4.exe
- %System%/marijuana.txt (A Marijuana szót tartalmazza ASCII art-ként)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Shell” = “Explorer.exe sIRC4.exe”
A .exe, .scr, .com, .pif, .cmd és .bat kiterjesztésű fájlok nevével bemásolja magát a következő könyvtárak valamelyikébe:
- %System%/DC++ Share/
- %System%/xdccPrograms/
Ha az eredeti fájl hosszabb, akkor véletlenszerű adatokkal egészíti ki a tartalmat, hogy a hossz ne változzon.
Egy távoli kiszolgálóhoz próbál csatlakozni IRC használatával. Véletlenszerű felhasználónevet, e-mail címet használ.
Ha sikerül kapcsolódnia, csatlakozik olyan chat szobákhoz, amelyek címében szerepel az ‘mp3’ vagy az ‘xdcc’ szó.
Üzeneteket terjeszt a chat szobákban.
Hivatkozások
Egyéb referencia: www.symantec.com