Дата обнаружения | 01/04/2004 |
Класс | P2P-Worm |
Платформа | Win32 |
Описание |
Червь, использующий для своего распространения файлообменную сеть KaZaa. Данная сеть позволяет ее участникам обмениваться файлами друг с другом, используя клиента этой сети. Червь написан на Borland Delphi, имеет размер примерно 216KB. Но его файл сжат утилитой AsPack, и размер файла может сильно меняться, так как червь дописывает в конец своего файла мусор для маскировки. ИнсталляцияПри запуске червь показывает ложное сообщение об ошибке: При этом он копирует себя в каталог %WinDir%SYSTEM под именем EXPLORER.SCR. Затем он создает в системном реестре два ключа: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "System-Service"="C:\WINDOWS\SYSTEM\EXPLORER.SCR" HKEY_LOCAL_MACHINESoftwareMicrosoft "syscod"="0065D7DB20008306B6A1" Это гарантирует ему запуск после перезагрузки системы. РаспространениеРаспространение червя возможно, только если на зараженном компьютере установлен клиент файолообменной сети KaZaa. Червь считывает из системного реестра настройки клиента, создает каталог %WinDir%TempSys32, который прописывает в качестве каталога, доступного для всех участников сети KaZaa. Этот каталог он наполняет собственными копиями под многочисленными различными именами, список которых содержится в теле самого червя. Распространие червя происходит следующим образом. “Жертва”, разыскивая какой-либо файл в сети KaZaa, обнаруживает его в списке доступных файлов на уже зараженной машине. Ничего не подозревая, он скачивает этот файл и запускает его, таким образом заражая собственную машину. Побочные эффектыЧервь “посещает” сайт benjamin.xxw.de с целью накрутки банеров. |
Узнай статистику распространения угроз в твоем регионе |