i-Worm.Hermes by gl_st0rm[mi0ns]

Intro:
Zdravim fsechny ctenare webu Hoax.cz! (pozn. nebo WORMS)
Pokud ste se rozhodli cist dale, tak fam dopredu prozradim, ze se zde dozfite in4mace s prvni ruky, ehm, teda vod autora. K teto skutecnosti sem byl "donucen" na zaklade majlu od webmastera (odpove∩ na vzkaz v knize nßvÜt∞v :-) ) serveru hoax.cz a take po precteni mnoha, doslofa lzivych definici od AV firem ;( ...treba AVP, McAfee, Trend Micro, a dalsi! Jen tak pro zacatek sem jeste chtel ufest, ze pochazim z CR, presne tedy z Brna a taky jsem soucasti ceske VX skupiny Mi0ns. To je tag fse o me, gdo je moc zvedavej, bude... ;)))

Tak a deme na vec!
Skoro hned, jak sem dokoncil wm97.Ftip, sem se vrhnul na novy projekt, nazval sem ho Hermes (...Hermes je jmeno Egyptskeho boha mesice a moudrosti...), melo to byt neco mnohem lepsiho nez byl Ftip(/i0nst0rm) a protoze se docela hodne zabyfam programovanim ve Visual Basicu (6), tak sem se rozhodl tohoto jazyka pro tento ucel zneuzit :) Prvne sem mel vobrovske plany co by "to" melo delat, ale z nedostatku casu i zkusenosti sem to lehce zkratil. Nakonec se s toho vyklubal jen i-worm + Seti trojan, ale o tom az dale...

O co se jedna?
Jedna se o i-worm napsany we VB6 a tudiz k jeho behu je bezpodminecne nutny opernacni system W95+. Dale je potreba knihowna msvbvm60.dll, ktera je standartni soucasti Win Me/2k :) Bez teto knihovny se cerf ani nespusti :( Pro sireni je potreba MS Outlook 98/2K a dale jeste WSH(Windofs script host), ktery umoznuje zapis do registru, atd.. Je standartni soucasti Win98/ME/2K...

...a co nam cerf dela?
Pokud cerv dorazi, prostrednictvim elektronicke posty jako priloha, a dojde k jeho spusteni, za splneni podminek vyse, se zacnou odehrafat instrukce v nem obsazene a to jsou:

Prvne si cerf overi existeni klice
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Hermes, "...by gl",
pokud existuje okamzite prekoci az na konec programu, tj zobrazi jen msgbox a ukonci sve pusobeni. Pokud ne tak zjisti existenci
"%program_files%\ \seti@home\user_info.sah",
pokud existuje, tak ho prepise a Vase bodiky se budou pripocitavat me;) - (Jedna se o inf soubor k projektu "Seti@home", nejake hledani ufounu) Pokud neexistuje, tak nedela nic a pokracuje...
Overi si pripojeni PC k internetu a to tak ze se pres IE pripoji k serveru www.seznam.cz, pokud uspeje tak si zjisti svou aktualni polohu na disku, nakopiruje se do %windir% jako jedna z nasledujicich variant:

Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe     [...Beeennnnnyyyyy!!!! :)]
ftip.exe
Navidat.exe    [...ghhh! to neni chyba :)]
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr

Pod stejnym nazvem se pokusi odeslat jako priloha na prvnich 100 adres v adresari outlooku. Jako telo zpravy obsahuje pouze "[%user_name%]", prilohu znate...
Pokud uspeje, tak si to oznaci do registru jako :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Hermes, "...by gl",
zobrazi jiz zminovany msgbox a skonci, fnuk ;)

Jestli-ze PC neni v okamziku spusteni cerva pripojene k internetu, tak se pouze zobrazi:
/This program requires more conventional memory
/Unload drivers or memory-resident programs that
/use conventional memory, or increase the value
/for Minimum Conventional Memory in the program's
/Memory properities sheet.
/
/                  [OK]

...a do registru je ulozi "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\REM"
s hodnotou "1", tato hodnota se po kazdem neuspesnem pripojeni k www.seznam.cz zvetsi o "1".
Jakmile hodnota dosahne velikosti "3", tak se cerf odesle i gdys neni PC pripojeno k inteu!, respektive se zapise do slozky "Posta k odeslani" v outlooku.

...a nakonec par perlicek ;)

AVP: The worm also tries to write registry keys but fails to do so because of a bug.

[Hmmmm?]

McAfee: Origin: Czechoslovakia

[???]

McAfee: This worm will send to users in the address book via MS Outlook if that application is running. If Outlook is not running, the worm does not spread.

[...a ze o tom nevim? :)]

McAfee: This worm will attempt to copy itself to the root of all available drives from C: to Z:

[hehe! zase blbost!!!]

Trend: The Trojan program contains the following text: "I-Worm.Hermes"

[...hledal sem, nenasel sem.... :)]

Trend: It then uses Messaging API to send two identical emails to all addresses in the infected user's MS Outlook Express and/or Microsoft Outlook address books.

[...bez komentare :(]

Outro:
Na tomto miste bych Vam chtel podekofat, ze ste se dostaly az taghle daleko v tomto clanku!!!
A Dale, bych tu mel jeden fskaz:

Petr Odehnal[AVG] : 539548th place :)

konec!

p.s.: za gramatickou spravnost nerucim :)))

03.02.2001
gl_storm@seznam.cz
IRC: #virus #mions #virus.cz
http://glvx.cjb.net/

DODATEK - strßnky, kde se o tomto viru pφÜe
AVP
McAFEE
TREND

Pro strßnky www.hoax.cz napsal: gl_storm
VeÜkerß prßva vyhrazena !

ZP╠T DO OT - mimo mφsu

Zpracoval: Josef D₧ubßk

VeÜkerß prßva vyhrazena !

AVP:	The worm also tries to write registry keys but fails to do so because of a bug.
	[Hmmmm?]

McAfee:	Origin: Czechoslovakia
	[???]

McAfee:	This worm will send to users in the address book via MS Outlook if that application is running. If Outlook is not running, the worm does not spread.
	[...a ze o tom nevim? :)]

McAfee:	This worm will attempt to copy itself to the root of all available drives from C: to Z:
	[hehe! zase blbost!!!]

Trend:	The Trojan program contains the following text: "I-Worm.Hermes"
	[...hledal sem, nenasel sem.... :)]

Trend:	It then uses Messaging API to send two identical emails to all addresses in the infected user's MS Outlook Express and/or Microsoft Outlook address books.
	[...bez komentare :(]