Понедельник, 23.12.2024, 14:58
HUKER.ucoz.com
Главная Регистрация Вход
Приветствую Вас, Гость · RSS
Меню сайта
Категории раздела
Вирусы [16]
Форма входа
Опрос
Как часто вы посещаете наш сайт?
Всего ответов: 353
Статистика


Рейтинг@Mail.ru


Онлайн всего: 3
Гостей: 3
Пользователей: 0
 Каталог статей
Главная » Статьи » Вредоносное ПО » Вирусы

Worm.Win32. AutoRun.hja

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 142336 байт. Написан на C++.


Инсталляция

После запуска червь копирует свое тело в следующий файл:
%USERPROFILE%\Application Data\rmhzb.exe
Файл создается с атрибутами "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"

Таким образом, копия червя будет запускаться процессом "WINLOGON.EXE" даже при загрузке компьютера в "безопасном режиме".


Распространение

Червь копирует свое тело на все доступные для записи съемные диски под следующим именем:
<имя зараженного раздела>:\SLOBODAN\vasic.exe
Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Вместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:\autorun.inf

который позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".


Деструктивная активность

После запуска червь внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, выполняющий следующие действия:
  • в бесконечном цикле создается ключ системного реестра: 
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"

  • Блокируется удаление файлов:
    %USERPROFILE%\Application Data\rmhzb.exe
    <имя зараженного раздела>:\SLOBODAN\vasic.exe
    <имя зараженного раздела>:\autorun.inf
  • Устанавливается соединение со следующими хостами:
    jebena.anan***ic.su
    peer.pickeklo***ke.ru
  • Если соединение успешно установлено, вредоносным кодом запускается цикл приема команд. По команде злоумышленника могут выполняться следующие действия: - похищение cookie браузера; - загрузка и запуск файлов; - сбор и отправка злоумышленнику информации о системе.
Категория: Вирусы | Добавил: Huker-Admin (29.12.2010)
Просмотров: 1452 | Рейтинг: 0.0/0
Copyright HUKER.ucoz.com © 2024-2012
Облако тегов
измерение скорости

Я.Интернет. Измерьте вашу скорость.