Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется по сетям файлообмена, базирующихся на KaZaA, Grokster, iMesh, а также через флоппи-диски. Червь является приложением Windows (PE EXE-файл), имеет размер около 46KB. Упакован UPX (размер распакованного файла более 200KB). Написан на языке Microsoft Visual Basic.

Инсталляция

При первом запуске червь копирует себя с различными именами в разные системные каталоги:

%Windir%WinBat.exe 
%Windir%DirectX.exe 
%Temp%Messenger Plus! - Setup.exe 
C:Windll32.dll

Червь регистрирует себя в ключах автозапуска системного реестра:

[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
 "DirectX"="%Windir%DirectX.exe"

Ищет на локальных дисках файл Winzip.exe и если такой обнаружен, копирует себя в ту же папку с именем WZExtract.exe. Данный файл также регистрируется в системном реестре:

[HKLMSoftwareCLASSESWinZipshellopencommand]
 [Default]="путь к файлуWZExtract.exe"

Размножение P2P

Червь создает в каталоге Windows подкаталог Kernell, в который копирует несколько своих копий с произвольными именами:

Adobe Photoshop crack.exe
Adult(hardcore sex movie xxx)movie.exe
Age of Empires 2 crack.exe
anastasia anal.jpg.exe
AOL password stealer.exe
Christina Aguilera movie.exe
Crack XBOX live.exe
Fifa 2004 crack.exe
Hotmail account hacker in 30 minutes.exe
Lord of the rings VCD.exe
MSN banner remover.exe
Windows XP Home to Professional Upgrade.exe
ZoneAlarm Firewall Pro.exe

Изменяет ключи системного реестра, в которых указывает созданный каталог как каталог файлообмена:

[HKCUSoftwareGroksterLocalContent]
[HKCUSoftwareiMeshClientLocalContent]
[HKCUSoftwareKaZaALocalContent]
 "dir0"="012345:%Windir%kernell"
 "dir1"="012345:%Windir%kernell"
 "dir2"="012345:%Windir%kernell"

Размножение через дискеты

Червь ищет исполняемые EXE-файлы на диске A: и копирует себя туда же с именем имеющегося файла и двойным расширением exe.exe.

Класс	P2P-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется по сетям файлообмена, базирующихся на KaZaA, Grokster, iMesh, а также через флоппи-диски. Червь является приложением Windows (PE EXE-файл), имеет размер около 46KB. Упакован UPX (размер распакованного файла более 200KB). Написан на языке Microsoft Visual Basic. Инсталляция При первом запуске червь копирует себя с различными именами в разные системные каталоги: %Windir%WinBat.exe %Windir%DirectX.exe %Temp%Messenger Plus! - Setup.exe C:Windll32.dll Червь регистрирует себя в ключах автозапуска системного реестра: [HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices] "DirectX"="%Windir%DirectX.exe" Ищет на локальных дисках файл Winzip.exe и если такой обнаружен, копирует себя в ту же папку с именем WZExtract.exe. Данный файл также регистрируется в системном реестре: [HKLMSoftwareCLASSESWinZipshellopencommand] [Default]="путь к файлуWZExtract.exe" Размножение P2P Червь создает в каталоге Windows подкаталог Kernell, в который копирует несколько своих копий с произвольными именами: Adobe Photoshop crack.exe Adult(hardcore sex movie xxx)movie.exe Age of Empires 2 crack.exe anastasia anal.jpg.exe AOL password stealer.exe Christina Aguilera movie.exe Crack XBOX live.exe Fifa 2004 crack.exe Hotmail account hacker in 30 minutes.exe Lord of the rings VCD.exe MSN banner remover.exe Windows XP Home to Professional Upgrade.exe ZoneAlarm Firewall Pro.exe Изменяет ключи системного реестра, в которых указывает созданный каталог как каталог файлообмена: [HKCUSoftwareGroksterLocalContent] [HKCUSoftwareiMeshClientLocalContent] [HKCUSoftwareKaZaALocalContent] "dir0"="012345:%Windir%kernell" "dir1"="012345:%Windir%kernell" "dir2"="012345:%Windir%kernell" Размножение через дискеты Червь ищет исполняемые EXE-файлы на диске A: и копирует себя туда же с именем имеющегося файла и двойным расширением exe.exe.

P2P-Worm.Win32.Blaxe

Technical Details

Инсталляция

Размножение P2P

Размножение через дискеты