Baza wirusów (10.01.2007r.)

[kindziukxxx 8]

znowu zapodaje wam przydatne informacje na temat bezpieczeństwa.

*Trojan-Downloader.Win32.Nurech.l
*Trojan-Clicker.HTML.IFrame.g
*Email-Worm.Win32.Warezov.gl
*Trojan-Dropper.Java.Xideo
*Trojan.JS.Seeker.ae
*Trojan-Dropper.Win32.Delf.sq
*Trojan.VBS.Seeker.g
*Trojan.Win32.Qhost.gl
*Trojan.Win32.StartPage.aho
*Net-Worm.Win32.Stavron.a
*Trojan-Downloader.Win32.Nurech.l
Trojan ten pobiera inne złośliwe programy poprzez Internet i instaluje je na komputerze ofiary bez wiedzy czy zgody użytkownika. Program ma postać PE EXE o rozmiarze 5554 bajtów (kompresja FSG 2.0, rozmiar po rozpakowaniu - 32 KB). Trojan powstał przy użyciu języka programowania C++.
Funkcje trojana :
Po uruchomieniu trojan czyta ostatnie 255 bajtów swojego kodu. Zawierają one zaszyfrowane adresy URL, z których szkodnik pobierze pliki. Po odszyfrowaniu trojan sprawdza, czy ciągi są poprawne (pierwszym symbolem powinno być H lub h). Trojan pobiera pliki z następujących odnośników:
http://marina.users.*************.com/1/1.exe - (wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Spy.Win32.BZub.gd, 96 984 bajtów)
http://marina.users.*************.com/1/zupacha.exe - (wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Proxy.Win32.Cimuz.ci, 17 920 bajtów)
http://marina.users.*************.com/1/chii.exe - (wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Proxy.Win32.Cimuz.bw, 48 128 bajtów)
Pobierane przez trojana pliki zapisywane są w folderze głównym systemu Windows (%WinDir%).
Po pobraniu plik zostanie uruchomiony.
Usuwanie trojana z zainfekowanego systemu :
W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące czynności:
Użyć Menedżera zadań w celu zakończenia oryginalnego procesu trojana
Zakończyć procesy o następujących nazwach:
1.exe
zupacha.exe
nhii.exe
Usunąć następujące pliki z foldera głównego systemu Windows:
%WinDir%1.exe
%WinDir%zupacha.exe
%WinDir%
hii.exe
Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie komputera (w tym celu można skorzystać z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus)
źródło: http://viruslist.pl/

*Trojan-Clicker.HTML.IFrame.g
Jest to trojan otwierający odsyłacze do stron WWW bez wiedzy czy zgody użytkownika zainfekowanego komputera. Ma postać pliku HTML. Rozmiar zainfekowanego pliku to 483 bajty.
Funkcje szkodnika :
Po uruchomieniu trojan otwiera:
otwiera stronę WWW zlokalizowaną pod adresem http://82.179.170.11/dia489/
plik WMF zlokalizowany pod adresem: http://latech.co.kr/n.wmf
Usuwanie szkodnika z zainfekowanego systemu :
W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące operacje:
Usunąć stronę HTML trojana (jej lokalizacja zależy od sposobu, w jaki trojan zainfekował komputer)
Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie komputera (w tym celu można skorzystać z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus)
źródło: http://viruslist.pl/

*Email-Worm.Win32.Warezov.gl
Jest to robak rozprzestrzeniający się poprzez Internet jako załącznik do zainfekowanych wiadomości. Załącznik nie zawiera kopii robaka, ale komponent, który może pobrać inne złośliwe programy poprzez Internet.
Zainfekowane wiadomości wysyłane są na adresy e-mail zebrane z komputera ofiary.
Robak ma postać pliku PE EXE o rozmiarze około 110 KB (kompresja UPS, rozmiar po rozpakowaniu - około 235 KB).
Instalacja :
Po uruchomieniu trojan kopiuje się do foldera systemowego jako cservv32.exe:
%Windir%cservv32.exe
Robak tworzy również następujące pliki w systemie Windows i folderach głównych:
%System%e1.dll (20 480 bajtów)
%Windir%cservv32.s
%Windir%cservv32.wax
%Windir%cservv32.dat
Robak tworzy również następujące wpisy w rejestrze systemowym:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"cservv32" = "%Windir%cservv32.exe s"
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs" = "e1.dll"
W ten sposób robak zapewnia sobie uruchamianie się wraz z każdym startem systemu Windows na komputerze ofiary.
Rozprzestrzenianie - poczta elektroniczna
Robak wysyła wiadomości e-mail na adresy zebrane z książki adresowej Windows.
W celu wysłania zainfekowanych wiadomości robak wykorzystuje własny silnik SMTP.
Zainfekowane wiadomości e-mail
Temat wiadomości (wybierany losowo z następujących możliwości):
Error
Good Day
hello
Mail Delivery System
Mail server report
Mail Transaction Failed
picture
Server Report
Status
test
Treść wiadomości (wybierana losowo z poniższych możliwości):
Mail transaction failed. Partial message is available.
__________________________
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
__________________________
The message contains Unicode characters and has been sent
as a binary attachment.
__________________________
Mail server report.
Our firewall determined the e-mails containing worm copies
are being sent from your computer.
Nowadays it happens from many computers, because this is
a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect
the computer unnoticeably. After the penetrating into the
computer the virus harvests all the e-mail addresses and sends
the copies of itself to these e-mail addresses
Please install updates for worm elimination and your computer restoring.
Best regards,
Customers support service
Nazwa załącznika (wybierana losowo z poniższych możliwości):
body
data
doc
docs
document
file
message
readme
test
text
Update-KB(losowe symbole)-x86
Załącznikiem jest komponent robaka, który potrafi pobierać inne złośliwe programy poprzez Internet.
Komponent ten wykrywany jest przez oprogramowanie Kaspersky Anti-Virus pod tą samą nazwą co główny komponent robaka, Email-Worm.Win32.Warezov.gl.
Funkcje trojana
Funkcja głównego komponentu
Robak zamyka szereg różnych rozwiązań antywirusowych i zapór ogniowych, jeśli są uruchomione na komputerze ofiary.
Funkcja komponentu przesłanego jako załącznik
Komponent ten wysyłany jest przez główny komponent robaka. Pobiera inne pliki z Internetu bez wiedzy czy zgody użytkownika.
Plik ma rozmiar 23 556 bajtów.
Po uruchomieniu plik otwiera domyślny edytor tekstowy (zazwyczaj Notatnik systemu Windows)lub wyświetla okineko z komunikatem.
Gdy plik zostanie zainstalowany na komputerze ofiary, stworzy własną kopię z losową nazwą w folderze systemowym.
Komponent wysłany przez robaka zawiera listę adresów URL, która zostanie sprawdzona pod kątem obecności plików. Jeśli pod którymkolwiek z tych adresów zostanie znaleziony plik, zostanie pobrany na komputer ofiary i uruchomiony.
Usuwanie trojana z zainfekowanego systemu
Wykrywanie tej wersji robaka zostało dodane do sygnatur zagrożeń firmy Kaspersky Anti-Virus jako uaktualnienie pilne.
Oprogramowanie Kaspersky Anti-Virus 6.0 z włączoną Ochroną proaktywną wykrywa tego robaka bez konieczności uaktualnienia sygnatur zagrożeń.
W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące czynności:
Uruchomić komputer w Trybie awaryjnym (podczas sekwencji startowej należy wcisnąć i przytrzymać klawisz F8, a następnie wybrać "tryb awaryjny" z menu tekstowego, które pojawi się na ekranie)
Użyć Menedżera zadań w celu zakończenia następującego procesu:
cservv32.exe
Usunąć ręcznie poniższe pliki z foldera głównego i systemowego:
%Windir%
servv32.exe
%Windir%cservv32.s
%Windir%cservv32.wax
%Windir%cservv32.dat
%System%e1.dll
Usunąć następujące wpisy z rejestru systemowego:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"cservv32" = "%Windir%cservv32.exe s"
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs" = "e1.dll"
Ponownie uruchomić komputer i sprawdzić, czy zostały usunięte wszystkie zainfekowane wiadomości z wszystkich folderów pocztowych.
Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie komputera (w tym celu można skorzystać z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus).
źródło: http://viruslist.pl/

*Trojan-Dropper.Java.Xideo
Trojan ten instaluje inne trojany na komputerze ofiary bez wiedzy czy zgody użytkownika. Powstał przy użyciu Javy. Rozmiar zainfekowanego pliku to 42 155 bajtów.
Funkcje szkodnika
Po uruchomieniu trojan wypakowuje ze swojego kodu pliki, zapisuje je w tymczasowym folderze systemu Windows i uruchamia:
xxxvideo.com (6 000 bajtów, wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan.Win32.Alfora)
microsoft.com (15 360 bajtów, wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan.Win32.Small.w)
Usuwanie szkodnika z zainfekowanego systemu
W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące operacje:
Usunąć oryginalny plik trojana (jego lokalizacja zależy od tego, w jaki sposób trojan przeniknął do maszyny ofiary)
Usunąć plik xxxvideo.com oraz microsoft.com z foldera tymczasowego systemu Windows (%Temp%)
Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie komputera (w tym celu można skorzystać z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus)
Inne znane nazwy szkodnika
TrojanDropper.Java.Xideo (Kaspersky Lab), JV/Xideo (McAfee), Trojan Horse (Symantec), Troj/JVXideo-A (Sophos), Java/Xideo (H+BEDV), Java/TrojanDropper.Xideo.A (Eset)
źródło: http://viruslist.pl/

*Trojan.JS.Seeker.ae
Trojan ten ma postać pliku JavaScript. Rozmiar zainfekowanego pliku to 1 156 bajtów.
Funkcje szkodnika
Skrypt trojana jest aktywowany po upłynięciu 1 sekundy od momentu uruchomienia pliku zawierającego ten skrypt.
Na początku trojan szuka pliku Chg wśród plików cookie. Po znalezieniu takiego pliku, skrypt przestanie funkcjonować. Jeżeli plik nie zostanie odnaleziony, skrypt robaka będzie kontynuował wykonywanie swoich operacji.
Trojan dodaje tekst do poniższych parametrów klucza rejestru. Tekst ten będzie pojawiał się w pasku tytułowym przeglądarki Internet Explorer:
[HKLMSoftwareMicrosoftInternet ExplorerMain]
"Window Title" = "it''s a good day to die!"
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Window Title" = "it''s a good day to die!"
Plik cookie Chg jest usuwany przez trojana co jedną milisekundę.
Usuwanie szkodnika z zainfekowanego systemu
W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące operacje:
Usunąć plik zawierający skrypt trojana (jego lokalizacja zależy od sposobu, w jaki trojan zainfekował komputer)
Usunąć następujące parametry kluczy rejestru systemowego:
[HKLMSoftwareMicrosoftInternet ExplorerMain]
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Window Title"
Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie komputera (w tym celu można skorzystać z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus)
źródło: http://viruslist.pl/

*Trojan-Dropper.Win32.Delf.sq
Jest to trojan instalujący inny program trojański na komputerze ofiary. Ma postać pliku PE EXE o rozmiarze 1 067 060 bajtów.
Funkcje trojana
Po uruchomieniu program rozpakowuje zaszyfrowane archiwum ZIP i zapisuje je w folderze tymczasowym systemu Windows jako tmpfile_xtrans.zip.enc:
%Temp% mpfile_xtrans.zip.enc
Archiwum jest następnie deszyfrowane, a jego nazwa zostaje zmieniona na tmpfile_xtrans.zip. Zawartość archiwum jest rozpakowywana do %System%Drivers. Archiwum zawiera dwa pliki:
msrcps32.exe – (1 284 632 bajtów)
xtrans_config.ini – (142 bajty)
Trojan uruchamia następnie skrypt instalacyjny z xtrans_config.ini, który uruchamia %System%Driversmsrcps32.exe w celu wykonania. Xtrans_config.ini jest następnie usuwany.
Trojan tworzy plik o nazwie uisXTR.bat w folderze tymczasowym. Plik ten usuwa pliki tymczasowe stworzone przez trojana.
Msrcps32.exe jest instalatorem trojana. Po uruchomieniu program rozpakowuje następujące pliki i zapisuje je w %System%inetsrv:
dirchange.txt
dirchange.txt
JAstat.dll
JAstat.ini
JAstat.stats
libeay32.dll
login.txt
logoff.txt
msdtcdll.bin
msdtce.exe
read.txt
rules.txt
ServUCert.crt
ServUCert.key
ssleay32.dll
stat.txt
topdl.body
topdl.foot
topdl.head
topul.body
topul.foot
topul.head
ustat.txt
who.body
who.foot
who.head
Pliki te są komponentami złośliwego programu, który oprogramowanie Kaspersky Anti-Virus wykrywa jako Backdoor.Win32.ServU-based.ad. Po rozpakowaniu plików trojan uruchamia msdtce.exe.
Instalator tworzy również następujące wartości w rejestrze systemowym zapewniając uruchomienie zainstalowanego trojana wraz z każdym startem systemu:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Microsoft Distributed Transaction" = "%System%inetsrvmsdtce.exe"
"Microsoft Access Event" = "%System%Driversmsrcps32.exe"
Usuwanie trojana z zainfekowanego systemu
W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące czynności:
Usunąć procesy trojana:
msrcps32.exe
msdtce.exe
Usunąć oryginalny plik trojana (jego lokalizacja zależy od tego, w jaki sposób trojan przeniknął do maszyny ofiary)
Usunąć wszyskie pliki stworzone przez trojana
Usunąć następujące wpisy z rejestru systemowego:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Microsoft Distributed Transaction" = "%System%inetsrvmsdtce.exe"
"Microsoft Access Event" = "%System%Driversmsrcps32.exe"
Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie komputera (w tym celu można skorzystać z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus)
źródło: http://viruslist.pl/

*Trojan.VBS.Seeker.g
Trojan ten ma postać skryptu VBS. Rozmiar zainfekowanego pliku to 1 069 bajtów.
Funkcje szkodnika
Po uruchomieniu skrypt wyłącza Menedżera zadań poprzez dodanie poniższego parametru do klucza rejestru systemowego:
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableTaskMgr " = "dword:00000001"
Następnie trojan wstrzymuje swoje działanie na 30 sekund i zmienia stronę startową przeglądarki Internet Explorer na http://www.dosugrus.com:
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Start Page" = " http://www.dosugrus.com"
[HKLMSoftwareMicrosoftInternet ExplorerMain]
"Start Page" = " http://www.dosugrus.com"
[HKLMSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]
"HomePage" = "dword:00000001"
[HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Pane]
"HomePage" = "dword:00000001"
Trojan tworzy na pulpicie plik o nazwie DosugRus.url będący odsyłaczem internetowym:
[InternetShortcut]
URL= http://www.ruforce.com/
Po uruchomieniu tego pliku przez użytkownika, w oknie przeglądarki pojawi się strona http://www.ruforce.com/.
Następnie trojan włącza Menedżera zadań:
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableTaskMgr " = "dword:00000000"
Usuwanie szkodnika z zainfekowanego systemu
W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące operacje:
Usunąć plik zawierający skrypt trojana (jego lokalizacja zależy od sposobu, w jaki trojan zainfekował komputer)
Zredagować rejestr systemowy w celu ustawienia następujących wartości:
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Start Page" = "about:blank"
[HKLMSoftwareMicrosoftInternet ExplorerMain]
"Start Page" = "about:blank"
Otworzyć następujący klucz rejestru:
HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
i usunąć parametr:
“HomePage”.
Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie komputera (w tym celu można skorzystać z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus)
źródło: http://viruslist.pl/

*Trojan.Win32.Qhost.gl
Jest to trojan modyfikujący plik %System%driversetchosts wykorzystywany w systemie Windows do tłumaczenia nazw domenowych (DNS) na adresy IP.
Plik hosts jest modyfikowany w sposób uniemożliwiający użytkownikowi zainfekowanego komputera otwieranie poniższych stron WWW:
# System Hosts File
# DO NOT REMOVE IT !
127.0.0.1 nwolb.com
127.0.0.1 hsbc.co.uk
127.0.0.1 www.hsbc.co.uk
127.0.0.1 abbey.com
127.0.0.1 www.abbey.com
127.0.0.1 www.abbey.co.uk
127.0.0.1 abbey.co.uk
127.0.0.1 cahoot.com
127.0.0.1 www.cahoot.com
127.0.0.1 www.cahoot.co.uk
127.0.0.1 cahoot.co.uk
127.0.0.1 www.co-operativebank.co.uk
127.0.0.1 co-operativebank.co.uk
127.0.0.1 www.co-operativebank.com
127.0.0.1 co-operativebank.com
127.0.0.1 welcome2.co-operativebankonline.co.uk
127.0.0.1 welcome6.co-operativebankonline.co.uk
127.0.0.1 welcome8.co-operativebankonline.co.uk
127.0.0.1 welcome10.co-operativebankonline.co.uk
127.0.0.1 www.smile.co.uk
127.0.0.1 smile.co.uk
127.0.0.1 www.cajamar.es
127.0.0.1 cajamar.es
127.0.0.1 www.cajamar.com
127.0.0.1 cajamar.com
127.0.0.1 www.unicaja.es
127.0.0.1 unicaja.es
127.0.0.1 www.unicaja.com
127.0.0.1 unicaja.com
127.0.0.1 www.caixagalicia.es
127.0.0.1 caixagalicia.es
127.0.0.1 www.caixagalicia.com
127.0.0.1 caixagalicia.com
127.0.0.1 activa.caixagalicia.es
127.0.0.1 www.caixapenedes.es
127.0.0.1 caixapenedes.es
127.0.0.1 www.caixapenedes.com
127.0.0.1 caixapenedes.com
127.0.0.1 bancae.caixapenedes.com
127.0.0.1 www.caixasabadell.es
127.0.0.1 caixasabadell.es
127.0.0.1 www.caixasabadell.net
127.0.0.1 caixasabadell.net
127.0.0.1 www.cajamadrid.es
127.0.0.1 cajamadrid.es
127.0.0.1 www.cajamadrid.com
127.0.0.1 cajamadrid.com
127.0.0.1 oi.cajamadrid.es
127.0.0.1 www.ccm.es
127.0.0.1 ccm.es
127.0.0.1 www.haspa.de
127.0.0.1 haspa.de
127.0.0.1 ssl2.haspa.de
127.0.0.1 www.dresdner-bank.de
127.0.0.1 dresdner-bank.de
127.0.0.1 www.dresdner-privat.de
127.0.0.1 postbank.de
127.0.0.1 www.postbank.de
127.0.0.1 banking.postbank.de
127.0.0.1 www.sparda-b.de
127.0.0.1 sparda-b.de
127.0.0.1 www.bankingonline.de
127.0.0.1 www.raiffeisenbank-erding.de
127.0.0.1 raiffeisenbank-erding.de
127.0.0.1 www.vr-networld-ebanking.de
127.0.0.1 vr-networld-ebanking.de
127.0.0.1 www.bnhof.de
127.0.0.1 bnhof.de
127.0.0.1 www.deutsche-bank.de
127.0.0.1 deutsche-bank.de
127.0.0.1 meine.deutsche-bank.de
127.0.0.1 www.citibank.de
127.0.0.1 citibank.de
127.0.0.1 www.dkb.de
127.0.0.1 dkb.de
127.0.0.1 www.sparkasse-regensburg.de
127.0.0.1 sparkasse-regensburg.de
127.0.0.1 www.berliner-bank.de
127.0.0.1 berliner-bank.de
127.0.0.1 www.berliner-sparkasse.de
127.0.0.1 berliner-sparkasse.de
127.0.0.1 www.wellsfargo.com
127.0.0.1 wellsfargo.com
127.0.0.1 www.bankofamerica.com
127.0.0.1 bankofamerica.com
127.0.0.1 www.usbank.com
127.0.0.1 usbank.com
127.0.0.1 www.bankone.com
127.0.0.1 bankone.com
127.0.0.1 www.citibank.com
127.0.0.1 citibank.com
127.0.0.1 www.capitalone.co.uk
127.0.0.1 capitalone.co.uk
--------
źródło: http://viruslist.pl/

*Trojan.Win32.StartPage.aho
Trojan ten zmienia stronę główną przeglądarki Microsoft Internet Explorer bez wiedzy czy zgody użytkownika.
Program ma postać pliku PE EXE o rozmiarze 20 480 bajtów. Powstał przy użyciu języka programowania C++.
Funkcje trojana
Trojan ustawia stronę główną przeglądarki Microsoft Internet Explorer na następującą:
http://www.city2100.com
W tym celu modyfikuje następujący klucz w rejestrze:
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Start Page" = " http://www.city2100.com"
Trojan uruchamia również plik Setup.exe z foldera bieżącego.
Usuwanie trojana z zainfekowanego systemu
W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące czynności:
Użyć Menedżera zadań w celu zakończenia procesu trojana
Usunąć oryginalny plik trojana (jego lokalizacja zależy od tego, w jaki sposób trojan przeniknął do maszyny ofiary)
Cofnąć modyfikacje w rejestrze systemowym:
[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Start Page"="%user settings%"
Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie komputera (w tym celu można skorzystać z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus)
źródło: http://viruslist.pl/

*Net-Worm.Win32.Stavron.a
Jest to robak sieciowy infekujący komputery działające pod kontrolą systemów Windows. Ma postać pliku PE EXE o rozmiarze 352 768 bajtów. Robak rozprzestrzenia się poprzez lokalne zasoby sieciowe i szyfruje dane na zainfekowanych komputerach.
Funkcje szkodnika
Robak rozprzestrzenia się poprzez lokalne zasoby sieciowe. Infekuje tylko komputery posiadające statyczne adresy IP.
Robak podejmuje próby nawiązywania połączeń z określonymi komputerami w celu uzyskania nazwy i hasła administratora oraz zdobycia dostępu do szeregu usług zainfekowanej maszyny.
Jeżeli bieżąca data systemowa zainfekowanego komputera jest wcześniejsza niż 9 marca 2006 r., robak:
odczytuje zawartość klucza rejestru [HKCUVolatile EnvironmentLOGONSERVER]
podejmuje próbę nawiązania połączenia z ofiarą
wykorzystuje polecenie NetUserEnum na zainfekowanym komputerze
wykorzystuje polecenie NetUserGetInfo w celu uzyskania informacji dotyczących konta (celem szkodnika jest zdobycie nazwy konta administratora)
uruchamia RemoteRegistry oraz Seclogon na zainfekowanym komputerze
wykorzystuje RegConnectRegistry do zdalnego otwarcia rejestru systemowego, odczytuje zawartość klucza [HKLMSoftwareMicrosoftWindowsNTCurrentVersionSystemRootNetShareEnum] i tworzy listę zasobów współdzielonych
odczytuje zawartość klucza [HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonuserinit] i zapisuje w nim swoje dane
usuwa plik %System%progrnam.exe (jeżeli istnieje)
sprawdza czy jest zlokalizowany w folderze systemowym i przypisuje sobie atrybuty pliku ?%System32%at.exe
Następnie robak wykorzystuje polecenia Randomize oraz RandInt do utworzenia 20-bajtowego klucza.
Dodatkowo szkodnik tworzy poniższy plik:
%Systematmsvc.dll (3 026 bajtów)
Plik ten zawiera zestaw losowo wygenerowanych symboli.
Jeżeli bieżąca data systemowa zainfekowanego komputera jest wcześniejsza niż 9 marca 2006 r., robak przestaje funkcjonować. W przeciwnym wypadku szkodnik wykonuje następujące operacje:
usuwa zawartość dziennika zdarzeń systemu Windows
odczytuje zawartość klucza [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonuserinit]
wywołuje polecenie NetWkstaGetInfo na bieżącym komputerze
wykonuje polecenie NetUserEnum dla wszystkich użytkowników bieżącego komputera
wykorzystuje polecenia NetUserGetInfo oraz NetUserSetInfo w celu zmiany hasła pierwszego użytkownika na liście na @Iyun''243$!jav9. (''Iyun'' jest zapisane cyrylicą)
Następnie robak tworzy listę wszystkich dysków logicznych oraz wszystkich plików zapisanych na tych dyskach.
Szkodnik usuwa z listy pliki znajdujące się w następujących katalogach:
Moi dokumetyi (zapisane cyrylicą)
My Documents@_
Documents and Settings
Program Files
Windows
WinNT
System Volume Information
Z listy usuwane są także następujące pliki:
pagefile.sys
arcldr.exe
arcsetup.exe
Bootfont.bin
Ntldr
MSDOS.SYS
IO.SYS
CONFIG.SYS
boot.ini
NTDETECT.COM
AUTOEXEC.BAT
Następnie robak:
tworzy nową nazwę dla każdego pliku znajdującego się na liście: FILEISENCODED (zaszyfrowana oryginalna nazwa) i zmienia nazwy plików, których rozmiar nie przekracza 100 000 000 bajtów)
tworzy plik o nazwie lkjhoiuy_$$00 i zapisuje w nim zaszyfrowany plik; niezaszyfrowany oryginał jest usuwany, a zaszyfrowana kopia otrzymuje nazwę swojego pierwowzoru
Niezależnie od innych okoliczności, robak przestaje funkcjonować po 400 sekundach od momentu jego uruchomienia.
Pozdrawiam

[L33T 0]

nice v nice. ciekawe czy nod 32 takie "przyjemne" rzeczy wykrywa :P