Класс | Worm |
Платформа | Win32 |
Описание |
Technical DetailsСетевой вирус-червь, распространяющийся по локальной сети. Представляет из себя 60K-программу Win32, написанную на MS Visual C++. Известная версия вируса зашифрована утилитой шифрований Win32 EXE-файлов PELock. Процедура распространения копирует файл-червь на другие компьютеры в локальной сети, если на них есть ресурсы (каталоги), открытые для чтения и записи. Для этого червь перебирает все ресурсы сети и ищет в них подкаталог При модификации файла WIN.INI червь использует временный файл WIN.HAI, по этой причине червь и получил свое имя. Червь также сканирует локальную и глобальную сеть. Для этого он перебирает IP-адреса, открывает соединение по каждому адресу и сразу закрывает его. Результат соединения никак не используется червем. Алгоритм перебора IP-адресов следующий: червь берет IP-адрес зараженной машины как базовый адрес, затем запускает два под-процесса. Один из них перебирает IP-адреса от базового с увеличением адреса на единицу, другой — с уменьшением на единицу. Т.е. если IP-адрес текущей машины 192.3.2.1, то червь будет сканировать IP-адреса в следующей последовательности: первый процесс второй процесс 192.3.2.1 192.3.2.1 192.3.2.2 192.3.1.255 192.3.2.3 192.3.1.254 192.3.2.4 192.3.1.253 ... ... 192.3.2.255 192.3.1.1 192.3.3.1 192.2.255.255 ... ... 192.3.255.255 192.1.1.1 192.4.1.1 191.255.255.255 |
Узнай статистику распространения угроз в твоем регионе |