Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 10.04.2010, 16:52

Worm.Win32. AutoRun.ezj

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 420925 байта. Упакован UPX. Распакованный размер – около 871 КБ.
Инсталляция

После запуска червь выполняет следующие действия:
Копирует себя по пути:
%System%\win32\csrss.exe
%System%\csrss.exe
%System%\domain.exe
файлы создаются с атрибутами "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующий ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
< LOGONDOMAIN "@" IPADDRESS > = %System%\domain.exe
Для отключения отображения скрытых файлов и каталогов изменяются значения следующих ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
"Hidden" = "2"
"HideFileExt" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol ices\Explorer]
"NofolderOptions" = "1"
Распространение

Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под именем:
< имя зараженного раздела >:\iostream.exe
Вместе со своим исполняемым файлом червь помещает файл:
< имя зараженного раздела >:\autorun.inf
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Производит поиск на всех доступных для записи сетевых, логических и съемных дисках файлов без расширения и копирует себя по найденному пути с именем:
< имя файла>.exe
Производит поиск на всех доступных для записи сетевых, логических и съемных дисках папок и копирует себя по найденному пути с именем:
< имя папки>.exe
Созданным файлам присваиваются атрибуты "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
Деструктивная активность

После запуска червь выполняет следующие действия:
Создает нового пользователя root с паролем 3645923527 и добавляет его в группу «Administrators».
Если среди запущенных процессов присутствует:
"rundll32.exe",
то открывает сетевой доступ к диску:
%Homedrive%
Разрешает удаленные подключения к компьютеру пользователя по протоколу RDP, создавая следующие ключи системного реестра:
[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections" = 0
"MaxOutstandingConnect" = 143
"EnableConcurrentSessions" = 9
Отключает редактор реестра и диспетчер задач, создавая следующие ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol ices\System]
"DisableTaskMgr" = "0"
"DisableRegistryTools" = "0"

10.04.2010, 16:52	#4
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,562 Сказал(а) спасибо: 2,820 Поблагодарили 5,656 раз(а) в 4,455 сообщениях Вес репутации: 46	Worm.Win32. AutoRun.ezj Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 420925 байта. Упакован UPX. Распакованный размер – около 871 КБ. Инсталляция После запуска червь выполняет следующие действия: Копирует себя по пути: %System%\win32\csrss.exe %System%\csrss.exe %System%\domain.exe файлы создаются с атрибутами "скрытый" (hidden), "только чтение" (readonly) и "системный" (system). Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующий ключ системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] < LOGONDOMAIN "@" IPADDRESS > = %System%\domain.exe Для отключения отображения скрытых файлов и каталогов изменяются значения следующих ключей системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced] "Hidden" = "2" "HideFileExt" = "1" [HKCU\Software\Microsoft\Windows\CurrentVersion\Pol ices\Explorer] "NofolderOptions" = "1" Распространение Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под именем: < имя зараженного раздела >:\iostream.exe Вместе со своим исполняемым файлом червь помещает файл: < имя зараженного раздела >:\autorun.inf что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Производит поиск на всех доступных для записи сетевых, логических и съемных дисках файлов без расширения и копирует себя по найденному пути с именем: < имя файла>.exe Производит поиск на всех доступных для записи сетевых, логических и съемных дисках папок и копирует себя по найденному пути с именем: < имя папки>.exe Созданным файлам присваиваются атрибуты "скрытый" (hidden), "только чтение" (readonly) и "системный" (system). Деструктивная активность После запуска червь выполняет следующие действия: Создает нового пользователя root с паролем 3645923527 и добавляет его в группу «Administrators». Если среди запущенных процессов присутствует: "rundll32.exe", то открывает сетевой доступ к диску: %Homedrive% Разрешает удаленные подключения к компьютеру пользователя по протоколу RDP, создавая следующие ключи системного реестра: [HKLM\System\CurrentControlSet\Control\Terminal Server] "fDenyTSConnections" = 0 "MaxOutstandingConnect" = 143 "EnableConcurrentSessions" = 9 Отключает редактор реестра и диспетчер задач, создавая следующие ключи системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Pol ices\System] "DisableTaskMgr" = "0" "DisableRegistryTools" = "0" __________________