Дата обнаружения | 09/04/2009 |
Класс | Net-Worm |
Платформа | Win32 |
Описание |
При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов «svchost.exe». Внедренный код выполняет основной деструктивный функционал червя:
Также червь может скачивать файлы по ссылкам вида: http:// где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов: http://www.w3.org http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами. Например Net-Worm.Win32.Kido.ir: Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска: [AUTorUN] AcTION=Open folder to view files icon=%syStEmrOot%sySTEM32sHELL32.Dll,4 OpEn=RunDll32.EXE .RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn sHEllExECUTe=RUNdLl32.ExE .RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn useAuTopLAY=1 Подразумевается, что библиотека червя находится в следующей папке на съемном носителе: .RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx Данная версия скрипта отображает фразу «Открыть папку для просмотра файлов» на английском языке в диалоговом окне автозапуска. |
Узнай статистику распространения угроз в твоем регионе |