Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 420925 байта. Упакован UPX. Распакованный размер - около 871 КБ.
Инсталляция
После запуска червь выполняет следующие действия:
- Копирует себя по пути:
%System%\win32\csrss.exe
файлы создаются с атрибутами "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
%System%\csrss.exe
%System%\domain.exe - Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующий ключ системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
< LOGONDOMAIN "@" IPADDRESS > = %System%\domain.exe - Для отключения отображения скрытых файлов и каталогов изменяются значения следующих ключей системного реестра:[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"HideFileExt" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Polices\Explorer]
"NofolderOptions" = "1"
Распространение
Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под именем:
< имя зараженного раздела >:\iostream.exeВместе со своим исполняемым файлом червь помещает файл:
< имя зараженного раздела >:\autorun.infчто позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Производит поиск на всех доступных для записи сетевых, логических и съемных дисках файлов без расширения и копирует себя по найденному пути с именем:
< имя файла>.exeПроизводит поиск на всех доступных для записи сетевых, логических и съемных дисках папок и копирует себя по найденному пути с именем:
< имя папки>.exeСозданным файлам присваиваются атрибуты "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
name="doc3">
Деструктивная активность
После запуска червь выполняет следующие действия:
- Создает нового пользователя root с паролем 3645923527 и добавляет его в группу «Administrators».
- Если среди запущенных процессов присутствует:
"rundll32.exe",
то открывает сетевой доступ к диску:%Homedrive%
- Разрешает удаленные подключения к компьютеру пользователя по протоколу RDP, создавая следующие ключи системного реестра:[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections" = 0
"MaxOutstandingConnect" = 143
"EnableConcurrentSessions" = 9 - Отключает редактор реестра и диспетчер задач, создавая следующие ключи системного реестра:[HKCU\Software\Microsoft\Windows\CurrentVersion\Polices\System]
"DisableTaskMgr" = "0"
"DisableRegistryTools" = "0"