Kaspersky Threats

Detekováno

06/26/2009

Třída

Platfoma

Popis

Aby bylo možné simulovat legitimitu, soubor červa obsahuje fiktivní informace o souboru:

Červ vyhledá proces odpovídající oknu třídy "Progman" (takto zjišťuje malware škodlivý proces "explorer.exe") a vkládá jeho kód do tohoto procesu, poté přestane běžet.

Škodlivý kód, který byl do tohoto procesu vložen, je nainstalován a funguje jako backdoor. K tomu se připojí k vzdáleným hostitelům:




prcoli *** nica.com



krete *** epotice.ru



somb *** osting.net



84. ***



dz *** tarts.com

Po příkazu ze škodlivého uživatele může červ provádět následující akce:

Stahujte soubory do infikovaného počítače a spusťte je k provádění. Stažené soubory jsou ukládány do dočasné složky uživatele pod náhodnými názvy:
```
 % Temp% <rnd> .exe 
```
kde <rnd> je náhodné číslo.

Může stahovat stažené soubory pod názvy "Crack.exe" a "Keygen.exe" do adresářů sdílení souborů P2P sítě umístěných na místním počítači. Můžete je také uložit do následujícího adresáře:
```
% ALLUSERSPROFILE% Místní nastaveníAplikace DataAresMy sdílená složka 
```
Získává jména P2P síťových adresářů sdílení souborů analýzou parametrů těchto klíčů systémového registru:
```
[HKCUSoftwareBearShareGeneral]



[HKCUSoftwareiMeshGeneral]



[HKCUSoftwareShareazaShareazaStahování]



[HKCUSoftwareKazaaLocalContent]



[HKCUSoftwareDC ++]



[HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1]
```
Změnit obsah souboru "hosts":
```
% System% etchosts 
```
To znamená, že může blokovat přístup k prostředkům, které uživatel navštíví, nebo přesměrovat uživatele na jiné zdroje.
Provádějte útok DoS na serveru určeném uživatelem se zlými úmysly.
Zkopírujte tělo červa na všechny síťové a vyměnitelné disky dostupné pro zápis. Také umístí doprovodný soubor, který je uveden níže, do kořenového adresáře každého disku:
```
 <X>: autorun.inf 
```
kde <X> je písmeno síťové jednotky nebo vyměnitelného disku. Současně přiřadí atributy "skrytá" a "systémová" kopie červa.

Tento soubor spouští spustitelný soubor z kopie červa pokaždé, když uživatel přistupuje k infikovanému disku pomocí aplikace Explorer.
Pošlete jména internetových zdrojů a jejich hesel na adresu škodlivého uživatele, když uživatel používá následující prohlížeče:
```
Mozilla Firefox



internet Explorer



Opera
```

V době psaní si červ odebral aktualizovanou verzi z následující adresy URL a spustil ji pro provedení:

 http: //188.****.27/jebacina/418.exe

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Detekováno	06/26/2009
Třída	P2P-Worm
Platfoma	Win32
Popis	Aby bylo možné simulovat legitimitu, soubor červa obsahuje fiktivní informace o souboru: Červ vyhledá proces odpovídající oknu třídy "Progman" (takto zjišťuje malware škodlivý proces "explorer.exe") a vkládá jeho kód do tohoto procesu, poté přestane běžet. Škodlivý kód, který byl do tohoto procesu vložen, je nainstalován a funguje jako backdoor. K tomu se připojí k vzdáleným hostitelům: prcoli * nica.com krete * epotice.ru somb * osting.net 84. * dz * tarts.com Po příkazu ze škodlivého uživatele může červ provádět následující akce: Stahujte soubory do infikovaného počítače a spusťte je k provádění. Stažené soubory jsou ukládány do dočasné složky uživatele pod náhodnými názvy: % Temp% <rnd> .exe kde <rnd> je náhodné číslo. Může stahovat stažené soubory pod názvy "Crack.exe" a "Keygen.exe" do adresářů sdílení souborů P2P sítě umístěných na místním počítači. Můžete je také uložit do následujícího adresáře: % ALLUSERSPROFILE% Místní nastaveníAplikace DataAresMy sdílená složka Získává jména P2P síťových adresářů sdílení souborů analýzou parametrů těchto klíčů systémového registru: [HKCUSoftwareBearShareGeneral] [HKCUSoftwareiMeshGeneral] [HKCUSoftwareShareazaShareazaStahování] [HKCUSoftwareKazaaLocalContent] [HKCUSoftwareDC ++] [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1] Změnit obsah souboru "hosts": % System% etchosts To znamená, že může blokovat přístup k prostředkům, které uživatel navštíví, nebo přesměrovat uživatele na jiné zdroje. Provádějte útok DoS na serveru určeném uživatelem se zlými úmysly. Zkopírujte tělo červa na všechny síťové a vyměnitelné disky dostupné pro zápis. Také umístí doprovodný soubor, který je uveden níže, do kořenového adresáře každého disku: <X>: autorun.inf kde <X> je písmeno síťové jednotky nebo vyměnitelného disku. Současně přiřadí atributy "skrytá" a "systémová" kopie červa. Tento soubor spouští spustitelný soubor z kopie červa pokaždé, když uživatel přistupuje k infikovanému disku pomocí aplikace Explorer. Pošlete jména internetových zdrojů a jejich hesel na adresu škodlivého uživatele, když uživatel používá následující prohlížeče: Mozilla Firefox internet Explorer Opera V době psaní si červ odebral aktualizovanou verzi z následující adresy URL a spustil ji pro provedení: http: //188.**.27/jebacina/418.exe
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

P2P-Worm.Win32.Palevo