Net-Worm.Win32.Randon

Класс Net-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Размножается через IRC-каналы, а также по локальным сетям, если в них есть ресурсы,
открытые на доступ.

При запуске инсталлирует набор своих компонент в системный каталог Windows в подкаталоги zxz и/или
zx. Регистрирует в реестре Windows ключ автозапуска клиента mIRC

KLM\SoftwareMicrosoftWindowsCurrentVersionRunupdateWins

и запускает его, скрывая процесс при помощи утилиты HideWindows.

Червь соединяется с IRC-сервером и запускает на исполнение свои скрипты. Помимо процедур
DDoS-атак и флудинга IRC-каналов, также сканирует 445 порт других пользователей IRC.


Размножение

При обнаружении открытого 445 порта, червь запускает bat-файлы “sencs.bat” и “incs.bat”, которые ищут на удаленном компьютере открытые ресурсы и пытаются подобрать к ним пароли из списка:

“”,”admin”, “administrator”, “root”, “admin”, “test”, “test123”, “temp”, “temp123”,
“pass”, “password”, “changeme”

В случае успеха – открывает socket на 445 порту и пересылает по нему на этот компьютер троянскую программу TrojanDownloader.Win32.Apher.gen, после чего запускает ее.
Данный троянец загружает из Интернета c сайта “www.q8kiss.net” самораспаковывающийся архив
с полной версией червя и инсталлирует его в систему.


Дополнительно

Червь состоит из следующих компонент:

Deta.exe является утилитой “HideWindows” (Win32 EXE file).
fControl.a – IRC скрипт, осуществляющий процедуру сканирования портов и заражение удаленных компьютеров.

IfControl.a – IRC скрипт, осуществляющий флудинг произвольных IRC-каналов и DDoS-атаки
(пинг различных адресов)
incs.bat – BAT файл, пытающийся подобрать пароли к сетевым ресурсам.
Libparse.exe является утилитой “PrcView” (Win32 EXE file).
psexec.exe является утилитой “PsExec” (Win32 EXE file)
rcfg.ini – IRC INI файл, выполняющий загрузку остальных скриптов
rconnect.conf – конфигурационный файл
reader.w – список никнеймов, под которыми червь устанавливает соединение с IRC-каналами
Sa.exe – TrojanDownloader.Win32.Apher
scontrol.a – вспомогательный IRC скрипт
sencs.bat – BAT файл, пересылаемый на удаленный компьютер, для запуска TrojanDownloader
systrey.exe – переименованный mIRC клиент (Win32 EXE file)

Узнай статистику распространения угроз в твоем регионе