I-Worm.Fog: зловредный интернет-червь ищет жертвы для DDoS-атак

I-Worm.Fog — интернет-червь, содержащий в себе также backdoor и DDoS процедуры. Является 180-килобайтной Win32-программой (PE EXE файл, упакован утилитой компрессии UPX, после распаковки размер червя составляет 500K). Написан на Delphi.

Червь распространяется при помощи зараженных электронных писем: рассылает себя на другие компьютеры в прикрепленном файле с именем «AntiVirus.exe». Для своего распространения использует функции MAPI. Червь также отсылает в IRC-канал отчеты о зараженных машинах и затем запускает backdoor и DDoS программы, что позволяет его удаленному хозяину манипулировать инфицированными компьютерами и совершать DoS-атаки на удаленные компьютеры.

При запуске зараженного файла на дисплей выводится сообщение:

Explorer
i reb00t
[OK]

При клике на кнопку «OK» червь червь копирует себя в системный каталог Windows в файл с именем «AntiVirus.exe» и в каталог %windows font directory% с именем «Times New Roman.exe». Последний файл регистрируется червем в ключе авто-запуска системного реестра:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices
Windows = %windows font directory%Timer New Roman.exe

Для распространения червь ищет во «Входящих» сообщениях все те, которые имеют по крайней мере один вложенный файл, и отвечает на них следующим письмом:

Тема: I think that you sent me a virus.. heres a cleaner
Тело: I took my computer to the shop and they ran this, and told me to send it to you.. hope this helps.
Вложение: AntiVirus.exe

Червь удаляет в каталоге Windows файлы NETSTAT.EXE и REGEDIT.EXE. Также ищет на зараженном компьютере некоторые активные в данный момент процессы, включая антивирусные программы, и пытается их прервать:

Червь содержит следующий текст-«copyright»:

[Fist Of God] [Remote DDoS] [v2.7b]