Worm.Win32. AutoRun.ezj
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 420925 байта. Упакован UPX. Распакованный размер – около 871 КБ.
Инсталляция
После запуска червь выполняет следующие действия:
Копирует себя по пути:
%System%\win32\csrss.exe
%System%\csrss.exe
%System%\domain.exe
файлы создаются с атрибутами "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующий ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
< LOGONDOMAIN "@" IPADDRESS > = %System%\domain.exe
Для отключения отображения скрытых файлов и каталогов изменяются значения следующих ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
"Hidden" = "2"
"HideFileExt" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol ices\Explorer]
"NofolderOptions" = "1"
Распространение
Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под именем:
< имя зараженного раздела >:\iostream.exe
Вместе со своим исполняемым файлом червь помещает файл:
< имя зараженного раздела >:\autorun.inf
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Производит поиск на всех доступных для записи сетевых, логических и съемных дисках файлов без расширения и копирует себя по найденному пути с именем:
< имя файла>.exe
Производит поиск на всех доступных для записи сетевых, логических и съемных дисках папок и копирует себя по найденному пути с именем:
< имя папки>.exe
Созданным файлам присваиваются атрибуты "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
Деструктивная активность
После запуска червь выполняет следующие действия:
Создает нового пользователя root с паролем 3645923527 и добавляет его в группу «Administrators».
Если среди запущенных процессов присутствует:
"rundll32.exe",
то открывает сетевой доступ к диску:
%Homedrive%
Разрешает удаленные подключения к компьютеру пользователя по протоколу RDP, создавая следующие ключи системного реестра:
[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections" = 0
"MaxOutstandingConnect" = 143
"EnableConcurrentSessions" = 9
Отключает редактор реестра и диспетчер задач, создавая следующие ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol ices\System]
"DisableTaskMgr" = "0"
"DisableRegistryTools" = "0"
__________________
|