Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется по локальным сетям, если в них есть ресурсы, открытые на доступ. Червь содержит ряд ошибок и имеет очень мало шансов на «выживание».

Червь содержит несколько компонент:

cnn3.exe — главная компонента червя (Win32 EXE-файл размером около 350K)
abc.bat — BAT-файл (размер 1344 байт)
main.exe — троянская компонента (Win32 EXE-файл, размер 53280 байт)
psexec.exe — утилита удаленного запуска приложений (Win32 EXE-файл, размер 122880 байт)
slacke-worm.exe — компонента перебора сетевых адресов (Win32 EXE-файл, размер 25K или 28K в зависимости от версии червя)

Главная компонента червя является утилитой скрытного запуска самостоятельных EXE-файлов и определяется под именем «TrojanDropper.Win32.Yabinder».

При запуске она создаёт на диске C: каталог «sp», записывает в него компоненты червя и активизирует их:

C:spabc.bat
C:spmain.exe
C:sppsexec.exe
C:spslacke-worm.exe

Компонента «main.exe» является троянской программой удаленного администрирования и детектируется как «Backdoor.SdBot».

Компонента «slacke-worm.exe» ищет ресурсы сети и при помощи оставшихся двух компонент пытается запустить свои копии на удаленных компьютерах:

abc.bat — пытается подключиться к удаленным ресурсам сети перебирая логины и пароли
psexec.exe — используется для запуска копии червя на удаленном компьютере

Класс	Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется по локальным сетям, если в них есть ресурсы, открытые на доступ. Червь содержит ряд ошибок и имеет очень мало шансов на «выживание». Червь содержит несколько компонент: cnn3.exe — главная компонента червя (Win32 EXE-файл размером около 350K) abc.bat — BAT-файл (размер 1344 байт) main.exe — троянская компонента (Win32 EXE-файл, размер 53280 байт) psexec.exe — утилита удаленного запуска приложений (Win32 EXE-файл, размер 122880 байт) slacke-worm.exe — компонента перебора сетевых адресов (Win32 EXE-файл, размер 25K или 28K в зависимости от версии червя) Главная компонента червя является утилитой скрытного запуска самостоятельных EXE-файлов и определяется под именем «TrojanDropper.Win32.Yabinder». При запуске она создаёт на диске C: каталог «sp», записывает в него компоненты червя и активизирует их: C:spabc.bat C:spmain.exe C:sppsexec.exe C:spslacke-worm.exe Компонента «main.exe» является троянской программой удаленного администрирования и детектируется как «Backdoor.SdBot». Компонента «slacke-worm.exe» ищет ресурсы сети и при помощи оставшихся двух компонент пытается запустить свои копии на удаленных компьютерах: abc.bat — пытается подключиться к удаленным ресурсам сети перебирая логины и пароли psexec.exe — используется для запуска копии червя на удаленном компьютере

Worm.Win32.Slackor

Technical Details