Kaspersky Threats

Bulunma tarihi

06/26/2009

Sınıf

Platform

Açıklama

Meşruiyeti simüle etmek için, solucanın dosyası, dosya hakkında kukla bilgiler içeriyor:

Solucan, "Progman" sınıfıyla bir pencereye karşılık gelen bir işlemi bulur (bu, kötü amaçlı yazılımın "explorer.exe" işlemini nasıl bulduğunu gösterir) ve kodunu bu sürece enjekte eder, sonra da çalışmayı bırakır.

Bu işleme enjekte edilen kötü amaçlı kod yüklenir ve arka kapı işlevselliğini gerçekleştirir. Bunu yapmak için uzak ana bilgisayarlara bağlanır:




prcoli *** nica.com



Krete *** epotice.ru



SOMB *** osting.net



84. ***. 194



dz *** tarts.com

Kötü niyetli kullanıcının bir komutundan sonra, solucan aşağıdaki işlemleri gerçekleştirebilir:

Dosyaları virüslü bilgisayara indirin ve yürütme için başlatın. İndirilen dosyalar kullanıcının geçici klasörüne rastgele isimler altında kaydedilir:
```
 % Temp% <RND> .exe 
```
<rnd> rasgele bir sayıdır.

İndirilen dosyaları yerel makinede bulunan P2P ağ dosya paylaşım dizinlerine "Crack.exe" ve "Keygen.exe" isimleri altında kaydedebilir. Ayrıca onları aşağıdaki dizine kaydedebilir:
```
% ALLUSERSPROFILE% Yerel AyarlarUygulama VeriAresMy Paylaşılan Klasör 
```
Bu sistem kayıt defteri anahtarlarının parametrelerini analiz ederek P2P ağ dosya paylaşım dizinlerinin isimlerini alır:
```
[HKCUSoftwareBearShareGeneral]



[HKCUSoftwareiMeshGeneral]



[HKCUSoftwareShareazaShareazaDownloads]



[HKCUSoftwareKazaaLocalContent]



[HKCUSoftwareDC ++]



[HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1]
```
"Hosts" dosyasının içeriğini değiştirin:
```
% Sistem% etchosts 
```
Bu, kullanıcının ziyaret ettiği İnternet kaynaklarına erişimi engelleyebileceği veya kullanıcıyı başka kaynaklara yönlendirebileceği anlamına gelir.
Kötü amaçlı kullanıcı tarafından belirtilen bir sunucuya bir DoS saldırısı yapın.
Solucan gövdesini tüm yazılabilir, erişilebilir ağlara ve çıkarılabilir sürücülere kopyalayın. Ayrıca, aşağıda gösterilen ekli dosyaları her diskin köküne yerleştirir:
```
 <X>: autorun.inf 
```
Burada <X>, ağ sürücüsünün veya çıkarılabilir diskin harfidir. Aynı zamanda, solucanın kopyalarına "gizli" ve "sistem" özelliklerini atar.

Bu dosya, kullanıcı Explorer'ı kullanarak virüs bulaşan diske her eriştiğinde solucan kopyasından yürütülebilir dosyayı başlatır.
Kullanıcı aşağıdaki tarayıcıları kullandığında İnternet kaynaklarının isimlerini ve şifrelerini kötü niyetli kullanıcının adresine gönder:
```
Mozilla Firefox



Internet Explorer



Opera
```

Yazım sırasında, solucan güncellenmiş sürümünü aşağıdaki URL'den indirdi, ardından çalıştırılmak üzere başlattı:

 http: //188.***.27/jebacina/418.exe

Orijinaline link

Bulunma tarihi	06/26/2009
Sınıf	P2P-Worm
Platform	Win32
Açıklama	Meşruiyeti simüle etmek için, solucanın dosyası, dosya hakkında kukla bilgiler içeriyor: Solucan, "Progman" sınıfıyla bir pencereye karşılık gelen bir işlemi bulur (bu, kötü amaçlı yazılımın "explorer.exe" işlemini nasıl bulduğunu gösterir) ve kodunu bu sürece enjekte eder, sonra da çalışmayı bırakır. Bu işleme enjekte edilen kötü amaçlı kod yüklenir ve arka kapı işlevselliğini gerçekleştirir. Bunu yapmak için uzak ana bilgisayarlara bağlanır: prcoli * nica.com Krete * epotice.ru SOMB * osting.net 84. . 194 dz tarts.com Kötü niyetli kullanıcının bir komutundan sonra, solucan aşağıdaki işlemleri gerçekleştirebilir: Dosyaları virüslü bilgisayara indirin ve yürütme için başlatın. İndirilen dosyalar kullanıcının geçici klasörüne rastgele isimler altında kaydedilir: % Temp% <RND> .exe <rnd> rasgele bir sayıdır. İndirilen dosyaları yerel makinede bulunan P2P ağ dosya paylaşım dizinlerine "Crack.exe" ve "Keygen.exe" isimleri altında kaydedebilir. Ayrıca onları aşağıdaki dizine kaydedebilir: % ALLUSERSPROFILE% Yerel AyarlarUygulama VeriAresMy Paylaşılan Klasör Bu sistem kayıt defteri anahtarlarının parametrelerini analiz ederek P2P ağ dosya paylaşım dizinlerinin isimlerini alır: [HKCUSoftwareBearShareGeneral] [HKCUSoftwareiMeshGeneral] [HKCUSoftwareShareazaShareazaDownloads] [HKCUSoftwareKazaaLocalContent] [HKCUSoftwareDC ++] [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1] "Hosts" dosyasının içeriğini değiştirin: % Sistem% etchosts Bu, kullanıcının ziyaret ettiği İnternet kaynaklarına erişimi engelleyebileceği veya kullanıcıyı başka kaynaklara yönlendirebileceği anlamına gelir. Kötü amaçlı kullanıcı tarafından belirtilen bir sunucuya bir DoS saldırısı yapın. Solucan gövdesini tüm yazılabilir, erişilebilir ağlara ve çıkarılabilir sürücülere kopyalayın. Ayrıca, aşağıda gösterilen ekli dosyaları her diskin köküne yerleştirir: <X>: autorun.inf Burada <X>, ağ sürücüsünün veya çıkarılabilir diskin harfidir. Aynı zamanda, solucanın kopyalarına "gizli" ve "sistem" özelliklerini atar. Bu dosya, kullanıcı Explorer'ı kullanarak virüs bulaşan diske her eriştiğinde solucan kopyasından yürütülebilir dosyayı başlatır. Kullanıcı aşağıdaki tarayıcıları kullandığında İnternet kaynaklarının isimlerini ve şifrelerini kötü niyetli kullanıcının adresine gönder: Mozilla Firefox Internet Explorer Opera Yazım sırasında, solucan güncellenmiş sürümünü aşağıdaki URL'den indirdi, ardından çalıştırılmak üzere başlattı: http: //188.*.27/jebacina/418.exe
	Orijinaline link

P2P-Worm.Win32.Palevo