Worm.Win32.Shorm

Класс Worm
Платформа Win32
Описание

Technical Details

Сетевой червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл). Написан на Delphi. Упакован утилитой компрессии PE EXE-файлов ASPack.

Распространятся по локальным и глобальным сетям. При распространении выбирает компьютер-жертву (см. ниже) и, если диск на компьютере открыт на полный доступ, создает на нем свою копию в каталоге авто-запуска Windows.

Также «ворует» пароли доступа в сеть и Интернет. Считывает RAS-информацию (имя пользователя, номера телефонов, пароли), кешированные пароли доступа и отправляет их на два адреса: krenx@mail.ru и winam@mail.ru.

Тело червя содержит текст:

SharedWorm v1.2

При запуске на компьютере червь копирует себя в системный каталог Windows с тремя именами: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE. Затем эти файлы регистрируются в ключах авто-запуска системного реестра:

HKCU\SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM\SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM\SOFTWAREMicrosoftWindowsCurrentVersionRunServices

Таким образом, червь запускается при каждом рестарте Windows.

Затем червь обращается к Web-странице по адресу
«http://krenx.newmail.ru/ip.txt» и считывает ее содержимое. Данная страница содержит IP-маски подсетей, которые атакуются червем, например:

194.135.175.
213.24.179.
195.209.191.
213.59.57.

Червь затем выбирает случайную маску подсети, перебирает все возможные IP-адреса этой подсети и пытается установить соединение. Если соединение произошло удачно (т.е. существует компьютер с данным IP-адресом) червь
пытается получить доступ к его диску. Если диск открыт на полный доступ (чтение/запись), то червь определяет имя каталога Windows и копирует себя туда с именами:

Start MenuProgramsStartUpAVPMonitor.exe
Главное менюПрограммыАвтозагрузкаAVPMonitor.exe

Таким образом зараженными могут оказаться компьютеры под управлением английской и русской версий Windows. Поскольку червь копирует себя в каталог авто-запуска Windows, то он будет автоматически исполнен при очередной перезагрузке Windows.

Червь также может «апдейтить» себя с Web-сайта. Для этого он обращается к Internet-файлу «http://krenx.newmail.ru/win.exe», скачивает его и запускает на локальной машине.