P2P-Worm.Win32.Franvir

Класс P2P-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь, распространяющийся через интернет по сетям файлообмена. Червь является приложением Windows (PE EXE-файл) и имеет размер около 1274 КБ.

Инсталляция

После запуска червь выдает следующее окно об ошибке:

При этом в случае повторных запусков зараженного файла, червь будет выдавать следующее окно:

При инсталляции червь копирует себя в корневой каталог Windows с именем microsoftscanreg.exe:

%Windir%microsoftscanreg.exe

После чего регистрирует себя в ключе автозагрузки системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
 "Microsoft Scanreg"="%Windir%microsoftscanreg.exe"

Размножение через P2P

Червь проверяет наличие установленного на машине P2P-клиента Kazaa и создает следующий каталог:

%Windir%scanregfilekazaaMy Shared Folder

После чего червь копирует себя в данный каталог со следующими именами:

Age Of Mythology FR CRACK.exe
Alcatraz Fr Crack.exe
Allopass + audiotel Keygen 2003.exe
Arx Fatalis FR CRACK.exe
Battlefield 1942 FR Crack.exe
Clone CD 5 keygen.exe
Delphi 5 fr crack keygen.exe
Delphi 6 fr crack keygen.exe
Delphi 7 fr crack keygen.exe
Dreamweaver MX keygen + crack by orran.exe
Fire-Works MX keygen + crack by orran.exe
Flash MX keygen + crack by orran.exe
Madden NFL 2003 FR CRACK.exe
Mafia Fr Nocd.exe
Medieval Total War Fr Crack.exe
Mega-Serial Microsoft Macromedia Borland Photoshop.exe
Nero FR 6 keygen + crack.exe
No One Lives Forever 2 FR CRACK.exe
Office XP fr Activation crack keygen.exe
Photoshop FR 7 keygen + crack by orran.exe
Sim City 4 FR Crack by zorio.exe
Unreal 2003 Fr Nocd.exe
Visual Basic fr 6.00 crack keygen.exe
Visual fr c++ crack keygen.exe
Visual.net fr Activation keygen crack.exe
Winace fr 4 keygen crack.exe
Windows XP Activation fr home Pro keygen 2003.exe
Windows XP fr home et pro SP1 crack.exe
Winrar fr 3.X keygen.exe
Winzip fr 8.X keygen crack.exe

Червь изменяет настройки Kazaa в системном реестре таким образом, чтобы установленные по умолчанию расшаренные ресурсы включали в себя и созданную червем папку:

[HKCUSoftwareKazaaLocalContent]
 "DownloadDir"="%Windir%scanregfilekazaaMy Shared Folder"

После чего зараженные файлы будут доступны другим пользователям клиента Kazaa.

Узнай статистику распространения угроз в твоем регионе