Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Сетевой вирус-червь, распространяющийся по локальной сети. Представляет из себя 60K-программу Win32, написанную на MS Visual C++. Известная версия вируса зашифрована утилитой шифрований Win32 EXE-файлов PELock.

Процедура распространения копирует файл-червь на другие компьютеры в локальной сети, если на них есть ресурсы (каталоги), открытые для чтения и записи. Для этого червь перебирает все ресурсы сети и ищет в них подкаталог
WINDOWS. Если такой обнаружен, вирус копирует себя туда со случайным EXE-именем (например, RLITK.EXE, STNXOUL.EXE) и регистрирует этот файл в заражаемом каталоге в файле WIN.INI в команде авто-запуска «Run=» (т.е. червь
в состоянии заразить только компьютеры Win9x).

При модификации файла WIN.INI червь использует временный файл WIN.HAI, по этой причине червь и получил свое имя.

Червь также сканирует локальную и глобальную сеть. Для этого он перебирает IP-адреса, открывает соединение по каждому адресу и сразу закрывает его. Результат соединения никак не используется червем.

Алгоритм перебора IP-адресов следующий: червь берет IP-адрес зараженной машины как базовый адрес, затем запускает два под-процесса. Один из них перебирает IP-адреса от базового с увеличением адреса на единицу, другой — с уменьшением на единицу.

Т.е. если IP-адрес текущей машины 192.3.2.1, то червь будет сканировать IP-адреса в следующей последовательности:

 первый процесс   второй процесс

 192.3.2.1        192.3.2.1
 192.3.2.2        192.3.1.255
 192.3.2.3        192.3.1.254
 192.3.2.4        192.3.1.253
 ...              ...
 192.3.2.255      192.3.1.1
 192.3.3.1        192.2.255.255
 ...              ...
 192.3.255.255    192.1.1.1
 192.4.1.1        191.255.255.255

Узнай статистику распространения угроз в твоем регионе

Класс	Worm
Платформа	Win32
Описание	Technical Details Сетевой вирус-червь, распространяющийся по локальной сети. Представляет из себя 60K-программу Win32, написанную на MS Visual C++. Известная версия вируса зашифрована утилитой шифрований Win32 EXE-файлов PELock. Процедура распространения копирует файл-червь на другие компьютеры в локальной сети, если на них есть ресурсы (каталоги), открытые для чтения и записи. Для этого червь перебирает все ресурсы сети и ищет в них подкаталог WINDOWS. Если такой обнаружен, вирус копирует себя туда со случайным EXE-именем (например, RLITK.EXE, STNXOUL.EXE) и регистрирует этот файл в заражаемом каталоге в файле WIN.INI в команде авто-запуска «Run=» (т.е. червь в состоянии заразить только компьютеры Win9x). При модификации файла WIN.INI червь использует временный файл WIN.HAI, по этой причине червь и получил свое имя. Червь также сканирует локальную и глобальную сеть. Для этого он перебирает IP-адреса, открывает соединение по каждому адресу и сразу закрывает его. Результат соединения никак не используется червем. Алгоритм перебора IP-адресов следующий: червь берет IP-адрес зараженной машины как базовый адрес, затем запускает два под-процесса. Один из них перебирает IP-адреса от базового с увеличением адреса на единицу, другой — с уменьшением на единицу. Т.е. если IP-адрес текущей машины 192.3.2.1, то червь будет сканировать IP-адреса в следующей последовательности: первый процесс второй процесс 192.3.2.1 192.3.2.1 192.3.2.2 192.3.1.255 192.3.2.3 192.3.1.254 192.3.2.4 192.3.1.253 ... ... 192.3.2.255 192.3.1.1 192.3.3.1 192.2.255.255 ... ... 192.3.255.255 192.1.1.1 192.4.1.1 191.255.255.255
	Узнай статистику распространения угроз в твоем регионе

Worm.Win32.Hai

Technical Details