Worm.BAT. Autorun.dl - 18 Мая 2009

Воскресенье, 2025-07-06, 7:18 PM
Приветствую Вас Гость | RSS

Главная | | Регистрация | Вход

Меню сайта

Категории раздела

Вирусы [14]

Статистика

Форма входа

Поиск

Календарь

Архив записей

2009 Май

Друзья сайта

Вирусный информер

Новости

//ms.3dn.ru/

Главная » » Worm.BAT. Autorun.dl

Worm.BAT. Autorun.dl	1:07 PM
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является файлом командного интерпретатора (BAT-файл). Имеет размер 3596 байт. Деструктивная активность После запуска червь скрывает защищенные системные файлы, устанавливая "0" в параметр "ShowSuperHidden" следующего ключа системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Затем пытается скопировать файл: %WinDir%\atidrv.exe в каталог d:\recycler Удаляет из каталога Windows файлы с именами: %WinDir%\yes %WinDir%\info После чего при помощи команды "ping" отправляет 20 ICMP запросов на следующий IP: 127.0.0.1 И устанавливает таймаут для ответа в 400 миллисекунд. Далее червь копирует в коревой каталог логических дисков "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "c" следующие файлы: %WinDir%\autorun.inf %WinDir%\ati2.bat %WinDir%\ati2.vbs Проверяет наличие доступа к сетевым узлам: ftp.kam*.ru .mine.nu И создает в каталоге Windows текстовые файлы: %WinDir%\ati.txt %WinDir%\sc.txt %WinDir%\sc2.txt %WinDir%\sc3.txt В данные файлы червь сохраняет команды просмотра каталогов и загрузки файлов с удаленного FTP сервера. Используя файлы с командами, вредонос выполняет загрузку файлов с FTP сервера ".mine.nu", которые затем сохраняет в корневой каталог Windows под именами: %WinDir%\ras.exe – 39325 байт, детектируется антивирусом Касперского как not-a-virus:PSWTool.Win32.Dialupass.ac %WinDir%\zip.exe %WinDir%\bla.exe %WinDir%\pro.exe – 24297 байт, детектируется антивирусом Касперского как not-a-virus:PSWTool.Win32.PassView.bj C:\Windows\upd.exe Также пытается загрузить с FTP сервера: ftp.kam.ru файл "atidrv.exe" и сохранить его в каталог Windows с тем же именем: %WinDir%\atidrv.exe На момент создания описания данный FTP сервер не работал. Затем запускает данный файл на выполнение с такими параметрами: atidrv.exe -o –sviator При наличии файла с именем: %WinDir%\upd.exe запускает его на выполнение, а затем производит его удаление. После этого червь запускает на выполнение файлы "ras.exe" и "pro.exe" с ведением файлов отчетов, которые создаются в том же каталоге. Запуск файлов производится со следующими параметрами: %WinDir%\ras.exe /allusers /stab %WinDir%\ras.log %WinDir%\pro.exe /stab %WinDir%\pro.log Затем червь получает системную информацию компьютера пользователя, а именно: Полные сведенья о конфигурации системы. * Список запущенных процессов. * Полную информацию о параметрах сети. * Все сетевые подключения и ожидающие порты. * Содержимое таблицы маршрутизации. * Результаты трассировки маршрута к домену "ya.ru". * Корневой DNS сервер. * Список всех установленных программ, которые располагаются в %Program Files%/ Собранную информацию червь сохраняет в файл с именем: %WinDir%\info Упаковывает файл при помощи ранее загруженной программы "PKZIP", устанавливая на архив пароль – "viator". Запускает самораспаковывающийся архив: %WinDir%\bla.exe И затем при помощи извлеченного консольного приложения для отправки электронной почты: %WinDir%\blat.exe отправляет файл с похищенной информацией %WinDir%\info.zip на электронную почту злоумышленника: ***ii2@mail.ru Также червь пытается удалить все файлы с расширением "mp3", которые находятся на логических дисках "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "c". Ищет все файлы командного интерпретатора (bat-файлы) на дисках "с"-"m", сбрасывает все установленные атрибуты и сохраняет полный путь к файлам в текстовый файл: %WinDir%\reg2.txt Пути, которые содержат в себе строку volume recycled recycler windows сохраняются в файл: %WinDir%\reg.txt
Категория: Вирусы \| Просмотров: 1347 \| Добавил: Admin \| Рейтинг: 0.0/0 \|