Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Размножается через IRC-каналы, а также по локальным сетям, если в них есть ресурсы,
открытые на доступ.

При запуске инсталлирует набор своих компонент в системный каталог Windows в подкаталоги zxz и/или
zx. Регистрирует в реестре Windows ключ автозапуска клиента mIRC

KLM\SoftwareMicrosoftWindowsCurrentVersionRunupdateWins

и запускает его, скрывая процесс при помощи утилиты HideWindows.

Червь соединяется с IRC-сервером и запускает на исполнение свои скрипты. Помимо процедур
DDoS-атак и флудинга IRC-каналов, также сканирует 445 порт других пользователей IRC.

Размножение

При обнаружении открытого 445 порта, червь запускает bat-файлы «sencs.bat» и «incs.bat», которые ищут на удаленном компьютере открытые ресурсы и пытаются подобрать к ним пароли из списка:

«»,»admin», «administrator», «root», «admin», «test», «test123», «temp», «temp123»,
«pass», «password», «changeme»

В случае успеха — открывает socket на 445 порту и пересылает по нему на этот компьютер троянскую программу TrojanDownloader.Win32.Apher.gen, после чего запускает ее.
Данный троянец загружает из Интернета c сайта «www.q8kiss.net» самораспаковывающийся архив
с полной версией червя и инсталлирует его в систему.

Дополнительно

Червь состоит из следующих компонент:

Deta.exe является утилитой «HideWindows» (Win32 EXE file).
fControl.a — IRC скрипт, осуществляющий процедуру сканирования портов и заражение удаленных компьютеров.

IfControl.a — IRC скрипт, осуществляющий флудинг произвольных IRC-каналов и DDoS-атаки
(пинг различных адресов)
incs.bat — BAT файл, пытающийся подобрать пароли к сетевым ресурсам.
Libparse.exe является утилитой «PrcView» (Win32 EXE file).
psexec.exe является утилитой «PsExec» (Win32 EXE file)
rcfg.ini — IRC INI файл, выполняющий загрузку остальных скриптов
rconnect.conf — конфигурационный файл
reader.w — список никнеймов, под которыми червь устанавливает соединение с IRC-каналами
Sa.exe — TrojanDownloader.Win32.Apher
scontrol.a — вспомогательный IRC скрипт
sencs.bat — BAT файл, пересылаемый на удаленный компьютер, для запуска TrojanDownloader
systrey.exe — переименованный mIRC клиент (Win32 EXE file)

Узнай статистику распространения угроз в твоем регионе

Класс	Net-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Размножается через IRC-каналы, а также по локальным сетям, если в них есть ресурсы, открытые на доступ. При запуске инсталлирует набор своих компонент в системный каталог Windows в подкаталоги zxz и/или zx. Регистрирует в реестре Windows ключ автозапуска клиента mIRC KLM\SoftwareMicrosoftWindowsCurrentVersionRunupdateWins и запускает его, скрывая процесс при помощи утилиты HideWindows. Червь соединяется с IRC-сервером и запускает на исполнение свои скрипты. Помимо процедур DDoS-атак и флудинга IRC-каналов, также сканирует 445 порт других пользователей IRC. Размножение При обнаружении открытого 445 порта, червь запускает bat-файлы «sencs.bat» и «incs.bat», которые ищут на удаленном компьютере открытые ресурсы и пытаются подобрать к ним пароли из списка: «»,»admin», «administrator», «root», «admin», «test», «test123», «temp», «temp123», «pass», «password», «changeme» В случае успеха — открывает socket на 445 порту и пересылает по нему на этот компьютер троянскую программу TrojanDownloader.Win32.Apher.gen, после чего запускает ее. Данный троянец загружает из Интернета c сайта «www.q8kiss.net» самораспаковывающийся архив с полной версией червя и инсталлирует его в систему. Дополнительно Червь состоит из следующих компонент: Deta.exe является утилитой «HideWindows» (Win32 EXE file). fControl.a — IRC скрипт, осуществляющий процедуру сканирования портов и заражение удаленных компьютеров. IfControl.a — IRC скрипт, осуществляющий флудинг произвольных IRC-каналов и DDoS-атаки (пинг различных адресов) incs.bat — BAT файл, пытающийся подобрать пароли к сетевым ресурсам. Libparse.exe является утилитой «PrcView» (Win32 EXE file). psexec.exe является утилитой «PsExec» (Win32 EXE file) rcfg.ini — IRC INI файл, выполняющий загрузку остальных скриптов rconnect.conf — конфигурационный файл reader.w — список никнеймов, под которыми червь устанавливает соединение с IRC-каналами Sa.exe — TrojanDownloader.Win32.Apher scontrol.a — вспомогательный IRC скрипт sencs.bat — BAT файл, пересылаемый на удаленный компьютер, для запуска TrojanDownloader systrey.exe — переименованный mIRC клиент (Win32 EXE file)
	Узнай статистику распространения угроз в твоем регионе

Net-Worm.Win32.Randon

Technical Details