Wirusy, robaki, phishing VI-XII 2006

Przeczytaj także: Wirusy, robaki, phishing I-VI 2007

Po uruchomieniu pliku robaka, pojawia się okno komunikatu pełniące rolę kamuflażu. Robak instaluje się w taki sposób, aby był uruchamiany przy starcie Windows. Po uaktywnieniu instaluje się w systemie i tworzy klucz startowy w rejestrze Windows. Następnie pozostaje aktywny w pamięci systemowej. W tym czasie przeszukuje określone pliki w komputerze (np. pliki HTML) na wszystkich dostępnych dyskach twardych pod kątem zawartych w nich adresów email. Na koniec łączy się z dostępnym serwerem pocztowym i wysyła swoją kopię pod znalezione adresy.

Interesującą cechą tego robaka był fakt, że potrafił się samodzielnie rozprzestrzeniać, podobnie jak robaki email sprzed kilku lat. Był to również bez wątpienia najbardziej masowo rozsyłany atak spamowy w 2006 r. W początkowym etapie wszystkie warianty korzystały z tej samej strony do pobierania dodatkowych komponentów i aktualizacji: gadesunheranwui.com. Domena ta została zarejestrowana przez autorów robaka specjalnie w tym celu.

Prawdziwy cel Warezova stał się jasny w listopadzie – było to wysoce skoordynowane ćwiczenie w rozprzestrzenianiu spamu. Komputery zarażone robakiem pobierały dodatkowe komponenty, które ze zmiennym opóźnieniem zaczynały wysyłać niechciane wiadomości, reklamujące Viagrę, Valis, Valium i klony Xanax. Niechciane wiadomości wyglądały podobnie do poniższej:
Zespół badawczy F-Secure skojarzył wirusa ze spamem za pomocą analizy domen, używanych przez grupę, która stworzyła Warezova, do dystrybucji składników wirusa i do hostingu fałszywych stron reklamujących Viagrę.

Warezov rozprzestrzenia się dzięki rozsyłaniu lekko zmodyfikowanych wersji komponentu służącego do pobierania danych. Spamerzy zmieniają jego kod gdy tylko główne programy antywirusowe zaczną wykrywać ten konkretny składnik. Gdy moduł pobierający zostanie uruchomiony na komputerze, łączy się z adresem, pod którym znajdują się inne składniki do pobrania. Typowy URL mógłby wyglądać np. tak: yuhadefunjinsa.com/chr/grw/lt.exe.

Spamowe wiadomości zawierają odnośniki do fałszywych stron oferujących Viagrę. Co ciekawe, domeny wykorzystywane przez fałszywe sklepy z Viargą mają nie tylko nazwy podobne do adresów URL zawierających komponenty do pobrania, ale także te same informacje rejestracyjne. Wszystkie domeny, które widzieliśmy, można podzielić na zaledwie trzy grupy: domeny zarejestrowane na „Wang Pang”, „Dima Li” oraz „Bai Ming”