Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 142336 байт. Написан на C++.
Инсталляция
После запуска червь копирует свое тело в следующий файл: %USERPROFILE%\Application Data\rmhzb.exe Файл создается с атрибутами "скрытый" (hidden), "системный" (system), "только чтение" (read only).
Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"
Таким образом, копия червя будет запускаться процессом "WINLOGON.EXE" даже при загрузке компьютера в "безопасном режиме".
Распространение
Червь копирует свое тело на все доступные для записи съемные диски под следующим именем: <имя зараженного раздела>:\SLOBODAN\vasic.exe Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).
Вместе со своим исполняемым файлом червь помещает файл: <имя зараженного раздела>:\autorun.inf
который позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность
После запуска червь внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, выполняющий следующие действия:
- в бесконечном цикле создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"
- Блокируется удаление файлов:
%USERPROFILE%\Application Data\rmhzb.exe <имя зараженного раздела>:\SLOBODAN\vasic.exe <имя зараженного раздела>:\autorun.inf - Устанавливается соединение со следующими хостами:
jebena.anan***ic.su peer.pickeklo***ke.ru - Если соединение успешно установлено, вредоносным кодом запускается цикл приема команд. По команде злоумышленника могут выполняться следующие действия: - похищение cookie браузера; - загрузка и запуск файлов; - сбор и отправка злоумышленнику информации о системе.
|