Detect date
30/06/2010
Класс
Worm
Платформа
Win32

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:
  • файловые;
  • загрузочные;
  • макровирусы;
  • скриптовые.
Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Worm

Размножается в компьютерных сетях через сетевые ресурсы или съемные носители. В отличие от Net-Worm, чтобы Worm активировался, пользователь должен запустить его. Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом такие черви или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в интернете, подключаются к ним и пытаются открыть их диски для полного доступа. Также к данному типу червей относятся черви, которые по тем или иным причинам нельзя отнести ни к одному из вышеописанных классов (например, мобильные черви).

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

После запуска червь выполняет следующие действия:

  • извлекает из своего тела файлы:
    
    
    
    <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003bnf0342 (102266 байт)
    
    
    
    <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003wndsvc.dll (4 байта)
    
    
    
    
    Файлы создаются с атрибутами "скрытый" (hidden), "системный" (system). Файл "bnf0342" представляет собой изображения вида: [Autorun.hfp.jpg]
  • Запускает на выполнение все созданные ранее копии. Кроме того, червь отслеживает список запущенных в системе процессов и их модулей. Если среди запущенных процессов отсутствует хотя бы одна копия вредоноса, все созданные копии перезапускаются.
  • В отдельном потоке в бесконечном цикле через каждые 2 секунды выполняет поиск и завершение процесса Диспетчера задач Windows ("taskmgr.exe").
  • В отдельном потоке отслеживает клавиатурный ввод пользователя, записывая полученные данные в файл:
    <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003info
  • В отдельном потоке в бесконечном цикле через каждые 2 секунды выполняет действия, описанные в разделе Инсталляция.
  • В бесконечном цикле через каждые 5 секунд копирует содержимое файла:
    <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003bnf0342
    в файл:
    <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003OnlyDbv.jpg

После чего открывает файл "OnlyDbv.jpg", препятствуя его удалению.

Например Worm.Win32.AutoRun.bhx:

Червь подгружает извлеченную библиотеку во все запущенные в системе процессы.

Также червь перехватывает нажатия клавиш клавиатуры и мыши, если запущен один из следующих процессов:

maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe

Червь собирает информацию об учетных записях игроков следующих игр:

ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver

Собранные данные отправляются на сайт злоумышленника.

Также червь изменяет значения следующих параметров ключей системного реестра:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden" = "2"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer]
"NoDriveTypeAutoRun" = "0x91"

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.