Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Worm
Размножается в компьютерных сетях через сетевые ресурсы или съемные носители. В отличие от Net-Worm, чтобы Worm активировался, пользователь должен запустить его. Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом такие черви или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в интернете, подключаются к ним и пытаются открыть их диски для полного доступа. Также к данному типу червей относятся черви, которые по тем или иным причинам нельзя отнести ни к одному из вышеописанных классов (например, мобильные черви).Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
После запуска червь выполняет следующие действия:
- извлекает из своего тела файлы:
<системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003bnf0342 (102266 байт) <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003wndsvc.dll (4 байта)
Файлы создаются с атрибутами "скрытый" (hidden), "системный" (system). Файл "bnf0342" представляет собой изображения вида: [Autorun.hfp.jpg] - Запускает на выполнение все созданные ранее копии. Кроме того, червь отслеживает список запущенных в системе процессов и их модулей. Если среди запущенных процессов отсутствует хотя бы одна копия вредоноса, все созданные копии перезапускаются.
- В отдельном потоке в бесконечном цикле через каждые 2 секунды выполняет поиск и завершение процесса Диспетчера задач Windows ("taskmgr.exe").
- В отдельном потоке отслеживает клавиатурный ввод пользователя, записывая полученные данные в файл:
<системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003info
- В отдельном потоке в бесконечном цикле через каждые 2 секунды выполняет действия, описанные в разделе Инсталляция.
- В бесконечном цикле через каждые 5 секунд копирует содержимое файла:
<системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003bnf0342
в файл:<системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003OnlyDbv.jpg
После чего открывает файл "OnlyDbv.jpg", препятствуя его удалению.
Например Worm.Win32.AutoRun.bhx:Червь подгружает извлеченную библиотеку во все запущенные в системе процессы.
Также червь перехватывает нажатия клавиш клавиатуры и мыши, если запущен один из следующих процессов:
maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe
Червь собирает информацию об учетных записях игроков следующих игр:
ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver
Собранные данные отправляются на сайт злоумышленника.
Также червь изменяет значения следующих параметров ключей системного реестра:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue" = "0"
"CheckedValue" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden" = "2"
"Hidden" = "2"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = "0"
"ShowSuperHidden" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer]
"NoDriveTypeAutoRun" = "0x91"
"NoDriveTypeAutoRun" = "0x91"
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com
Нашли неточность в описании этой уязвимости? Дайте нам знать!