Уязвимости Угрозы

English Russian Japanese LatAm Türkiye Brasil France Český Deutschland

P2P-Worm.Win32.Cassidy

Главная Угрозы P2P-Worm P2P-Worm.Win32.Cassidy
Класс P2P-Worm
Платформа Win32
Описание

Technical Details

Интернет-червь, распространяющийся в “peer-to-peer” сетях Kazaa. Червь размножается создавая свои копии в общедоступных каталогах этой сети.

Червь является приложением Windows (PE EXE), написан на MS Visual C++, имеет размер около 205K.

При старте червь копирует себя с именем “CassieWorm.exe” в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
CassieWorm = %WindowsDir%CassieWorm.exe


Затем червь выводит ложное сообщение об ошибке:

WinZip Self-Extractor
Bad CRC checksum, terminating extraction.
If the file was downloaded please download it again.

Для распространения по сети Kazaa червь:

  • создаёт подкаталог “Shared Folder” в каталоге Windows
  • регистрирует этот каталог как каталог обмена файлами Kazaa, для этого создаёт ключ реестра:

HKCUSoftwareKazaaLocalContent
Dir0 = “012345:%WindowsDir%Shared Folder”
DisableSharing = 0

  • считывает местоположение выполняемых файлов Kazaa из ключа:

    HKLMSOFTWAREKazaaCloudLoad
    ExeDir = %KazaaExeDir%

  • регистрирует выполняемый файл системы Kazaa ключе авто-запуска:

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun KAZAA = “%KazaaExeDir%Kazaa.exe /SYSTRAY”

  • копирует себя в каталог “Shared Folder” с именами:

    warcraft 3 maphack.exe
    counterstrike hack pack.exe
    diablo 2 pindlebot.exe
    diablo 2 maphack.exe
    playstation 2 emulator fanix.exe
    kazaa participation hack.exe
    cable modem ultility pack.exe
    winzip full version key generator.exe
    jamella’s diablo 2 editor.exe
    winamp plugin pack.exe
    pop-up killer.exe
    email forger.exe
    aim utilities.exe
    serials 2k.exe
    macromedia dreamweaver key generator.exe
    windows xp key generator.exe
    grand theft auto 3 key generator.exe
    hacking utilities.exe

      После инсталляции червь посылает своему “хозяину” на адрес “cassieworm@hotmail.com”
      письмо-нотифификацию, которое содержит:

      Заголовок: CassieWorm infected.
      Текст:

      CassieWorm infected on system:
      IP:
      Host Name:
      Registered User:
      Infected To:
      Local Time:
      Time Until Destruct:

      где в соответствующих строках располагается информация о зараженной машине.

      Проявление

      14 февраля 2003 года в 7:20 (локальное время на компьютере) червь уничтожает все файлы на всех
      доступных дисках.
Узнай статистику распространения угроз в твоем регионе
© 2021 AO Kaspersky Lab. All Rights Reserved.
Privacy Policy

Up