Worm.Chainsaw — новый вирус-червь

Червь распространяется по локальной сети. Также способен (в очень редких случаях) заражать удаленные компьютеры через Интернет.

При первом старте червь инсталлирует себя в систему. Для этого он копирует себя под именем WINMINE.EXE в системный каталог Windows и регистрирует этот файл в системном реестре в ключе авто-запуска:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Mines = pathWINMINE.EXE

где «path» является именем системного каталога Windows. Червь также создает еще одну свою копию с именем CHAINSAW.EXE в корневом каталоге диска. Затем червь прекращает свою работу и в следующий раз активизируется при
перестарте Windows.

При очередном запуске червь регистрирует себя в системе как скрытое приложение, перебирает доступные ресурсы локальной сети (удаленные диски) и заражает их, если они открыты на запись и если там установлена Windows. При заражении червь копирует себя на удаленный компьютер в каталог Windows и записывает команду авто-запуска в файл WIN.INI (секция [windows], команда «Run=»). Таким образом, при следующем рестарте удаленной системы червь активизируется и продолжает свое распространение.

При запуске червь также посылает сообщение в конференцию «alt.horror». Поля сообщение содержат данные:

From: «Leatherface»
Subject: CHAINSAWED
Newsgroups: alt.horror
Текст сообщения:

WHO WILL SURVIVE
AND WHAT WILL BE LEFT OF THEM?

Червь также пытается найти удаленные компьютеры, зараженные троянским конем типа Backdoor. Для этого червь в бесконечном цикле перебирает случайно сгенерированные IP-адреса, пытается по IP-адресу найти удаленную машину и установить с ней соединение. Если вдруг случайно IP-адрес действительно соответствует какому-либо компьютеры, червь пытается соединиться с одним из троянцев типа Backdoor, их имена: Sub7, NetBut, NetBios. Если соединение произошло успешно, червь посылает на удаленный компьютер свою копию и передает Backdoor-у команду запуска этой копии на исполнение.

В зависимости от системной даты червь посылает по случайному IP-адресу специальное сообщение, которое может вызвать крах удаленной системы, если там установлена Win95/98 (по причине ошибки в соответствующих библиотеках
Win95/98). Червь собирается это делать по 31-м числам, однако по причине ошибки сравнивает значение года, т.е. эта процедура срабатывает только если в системе установлен год 0031.

Червь также отключает интернет-защиту «ZoneAlarm». В зависимости от своего случайного счетчика уничтожает данные на диске, записывая в них текст:

«THE FILM WHICH YOU ARE ABOUT TO SEE IS AN ACCOUNT OF THE
TRAGEDY WHICH BEFELL A GROUP OF FIVE YOUTHS. IN PARTICULAR
SALLY HARDESTY AND HER INVALID BROTHER FRANKLIN. IT IS ALL
THE MORE TRAGIC IN THAT THEY WERE YOUNG. BUT, HAD THEY
LIVED VERY, VERY LONG LIVES, THEY COULD NOT HAVE EXPECTED
NOR WOULD THEY HAVE WISHED TO SEE AS MUCH OF THE MAD AND
MACABRE AS THEY WERE TO SEE THAT DAY. FOR THEM AN IDYLLIC
SUMMER AFTERNOON DRIVE BECAME A NIGHTMARE. THE EVENTS OF
THAT DAY WERE TO LEAD TO THE DISCOVERY OF ONE OF THE MOST
BIZARRE CRIMES IN THE ANNALS OF AMERICAN HISTORY,
THE TEXAS CHAIN SAW MASSACRE…»