Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Worm.Bumerang

Jest to bardzo niebezpieczny robak Win32. Ma postać pliku PE EXE o rozmiarze około 23 KB (plik jest skompresowany przy użyciu narzędzia UPX), napisanego w języku programowania Visual C++.

Szkodnik wykorzystuje odwołania charakterystyczne dla systemów Win9x i dlatego może funkcjonować tylko w tych systemach. Ze względu na swoją sieciową naturę wirus może infekować pliki przechowywane na maszynach działających pod kontrolą systemu Windows NT/2000 jednak nie może się na nich uruchamiać.

Procedury wirusa

Gdy zainfekowany plik zostanie uruchomiony wirus przejmuje kontrolę i kopiuje się do katalogu systemowego Windows z nazwą DDRAW32.DLL. Gdy podczas wykonywania tej procedury wystąpi błąd wirus wyświetla na ekranie komunikat:

Fatal error

Wirus posiada następujące procedury:

 • Procedura tworząca klucz auto-run w rejestrze systemowym:

  HKLM\Software\Microsoft\Windows\CurrentVersion\
  RunServicesOnce = %SystemDir%\DDRAW32.DLL

  W momencie uruchamiania aplikacji REGEDIT wirus tymczasowo usuwa ten klucz, ukrywając w ten sposób swoją obecność w systemie.

 • Infekowanie sieci lokalnej. Procedura ta pozostaje w uśpieniu przez około cztery minuty, po czym określa zasoby sieciowe (udostępnione dyski) i infekuje zapisane na nich pliki.

  Jeżeli napęd jest zmapowany z ograniczonym dostępem wirus próbuje zalogować się jako "gość".

 • Procedura dodatkowa. Robak przechowuje w rejestrze systemowym datę i czas swojego pierwszego uruchomienia. W zależności od czasu jaki upłynął od swojego pierwszego uruchomienia wirus kończy działanie aktywnych procesów z poniższej listy:

  • Msgsrv32
  • Mprexe
  • Explorer
  • Taskmon
  • Internat
  • Systray
  • Mmtask
  • ddraw32

  po czym rozpakowuje ze swojego kodu wirusa Win95.CIH do pliku RUN.EXE i uruchamia go.

 • Operacje sieciowe. Wirus podsłuchuje wszystkie zainfekowane maszyny i jeżeli wykryje uruchomienie jednej ze swoich procedur wysyła do dostępnych w sieci komputerów polecenie, które powoduje ich natychmiastowe zawieszenie.

Ukrywanie się

Szkodnik ukrywa w systemie swój plik DDRAW32.DLL. W tym celu przechwytuje wszystkie odwołania do funkcji wyszukujących ten plik i zwraca wartość "nie znaleziono pliku".

Funkcje dodatkowe

Szkodnik modyfikuje poniższe klucze rejestru systemowego:

HKLM\System\CurrentControlSet\Services\Class
id
go

HKLM\Enum\Network
cnum
inum

W kodzie wirusa zapisany jest następujący tekst:

Bumerang