..
Click anywhere to stop
Click anywhere to stop
Дата обнаружения | 26/06/2009 |
Класс | P2P-Worm |
Платформа | Win32 |
Описание |
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 89600 байт. Написана на C++. ИнсталляцияЕсли имя червя отличалось от «gpl.exe», тогда создает каталоги с атрибутами «скрытый» и «системный» в корневом каталоге системного диска: :RECYCLERS-1-5-21- Где — буква системного диска, — случайный набор из 33-х цифр, например «2417154109-8600854677-216712865-6223» или «0397941677-0106684583-388380175-2763». В созданном каталоге создает свою копию с именем «gpl.exe»: :RECYCLERS-1-5-21-gpl.exe а также файл с именем «Desktop.ini»: :RECYCLERS-1-5-21-Desktop.ini Данный файл имеет размер 63 байта и содержит следующие строки: [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E} Например P2P-Worm.Win32.Palevo.arxz: Для имитации легитимности файл червя содержит ложную информацию о файле: Червь определяет процесс соответствующий окну с классом «Progman» (таким образом вредонос находит процесс «explorer.exe») и внедряет в него вредоносный код, после этого завершает свое выполнение. Вредоносный код, внедренный в процесс, выполняет вышеописанную инсталляцию, а также реализует функционал бэкдора. Для этого соединяется с удаленными хостами: prcoli***nica.com krete***epotice.ru somb***osting.net 84.***.194 dz***tarts.com По команде злоумышленника червь может осуществлять следующие действия:
В корень диска при этом помещает сопровождающий файл: :autorun.inf Где — буква сетевого или съемного диска. При этом копии червя устанавливает атрибуты «скрытый» и «системный». Этот файл запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник».
|
Узнай статистику распространения угроз в твоем регионе |