VIRUS INFO
Naziv virusa:	Worm.P2P.Duload.b
Alias:	W32/Duload.worm.b, Worm.P2P.Duload.b, Win32/P2P.Duload.Worm
Tip:	worm
Način širenja:	KaZaa P2P (peer-to-peer) mrežom (razmena raznih podataka spajanjem svih korisnika u jednu mrežu)
Veličina:	7,680 bajtova (zapakovan sa UPX-om)
Destruktivan:	ne
Datum aktiviranja:	startovanjem zaraženog fajla
Otkriven:	21.08.2002.

OBJAŠNJENJE
Ovaj crv je napisan u programskom jeziku Microsoft Visual Basic 6.
Kada korisnik startuje zaraženi fajl, crv će kreirati sledeći fajl
C:\WINDOWS\SYSTEM\SYSTEMCONFIG.EXE

i kreiraće kluč u Registry bazi kako bi se on startovao svaki put kada se startuje i Windows
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

Crv kreira u Windows System direktorijumu poddirektorijum Media (po defaultu C:\ WINDOWS \ SYSTEM \ MEDIA) i u njemu kreira sledeće fajlove:
Jenna Jamison Dildo Humping.exe
Pamela Anderson And Tommy Lee Home Video.exe
Alicia Silverstone Payboy Nude.exe
Kama Sutra Tetris.exe
Flash Golf.exe
Hoes For You Solitare.exe
Bingo.exe
Irc Client.exe
Mirc 7.0.exe
DDos Client.exe
Email Bomber.exe
FileServer.exe
Kazaa Clone.exe
Napster Clone.exe
Winmx.exe
Website Hacker.exe
Hotmail Hacker.exe
Windows Hacker.exe
Free Porn.exe
Free Mpegs.exe
Free Pics.exe
Britney Spears Dance Beat.exe
Shakira Dancing.exe
J.Lo Bikini Screensaver.exe
Universal Game Crack.exe
Soldier Of Fortune 2 Mutiplayer Serial Hack.exe
Play Games Online For FREE.exe
Win A Ps2.exe
Win An Xbox.exe
Xbox Emulator.exe
Ps2 Emulator.exe
Ps2 Iso 2 Rom Converter.exe
Xbox Iso 2 Rom Converter.exe
The Sims Game Crack.exe
Working Iso Burner.exe
Winzip.exe
Winrar.exe
Winace.exe
System Monitor.exe
Warcraft 3 Battle.net Crack.exe

Kada kreira ove fajlove, crv kreira i ključ u Registry bazi.
HKEY_CURRENT_USER \ Software \ Kazaa
gde kao ključ navodi da je taj direktorijum, koji je kreirao, deljiv sa svim korisnicima preko KaZaa P2P mreže.

Takođe će biti izmenjeno i nekoliko ključeva u Registry bazi koji se odnose na ovaj program:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir0" = C:\WINDOWS\SYSTEM\Media\

HKEY_LOCAL_MACHINE\Software\Kazaa\CloudLoad
"ShareDir" = C:\WINDOWS\SYSTEM\Media\

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir1" = C:\WINDOWS\SYSTEM\Media\

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir2" = 012345:C:\WINDOWS\SYSTEM\Media\

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"DisableSharing" = 0

HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir0" = 012345:C:\WINDOWS\SYSTEM\Media\

HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir1"= C:\WINDOWS\SYSTEM\Media\

HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir99" = 012345:C:\WINDOWS\SYSTEM\Media\

Dok je korisnik na Internetu, crv će sa http://thisistrash.0catch.com/ skinuti trojanca pod imenom Trojan.Downloader i sačuvaće ga kao C:\UNINSTALL.EXE. Zatim će ga startovati.

REŠENJE
U Registry bazi treba ukloniti sledeće ključeve:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
Windows System Configure= C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE

Zatim obrisati fajl C:\ WINDOWS \ SYSTEM \ SYSTEMCONFIG.EXE kao i direktorijum C:\ WINDOWS \SYSTEM \ MEDIA.

Korisnici koji koriste ovaj program, KaZaa, za razmenu fajlova trebalo bi da provere još jedno podešavanje programa.
Zbog pojave dosta sličnih virusa i crva koji se šire preko P2P mreža, preporučujem redovno osvežavanje antivirusnog programa.