Полное описание

Имя:	Worm/Arduk.G
Обнаружен:	15/07/2005
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	13.312 байт.
Контрольная сумма MD5:	383a48fe9d8e8d8ba3240756d686c696
Версия VDF:	6.25.0.18

Общее Метод распространения:
   • Email

Псевдонимы (аliases):
   • Symantec: W32.Adurk@mm
   • Mcafee: W32/Ardurk.gen@MM
   • Kaspersky: Email-Worm.Win32.Ardurk.g
   • TrendMicro: WORM_ADURK.A
   • Sophos: W32/Ardurk-G
   • VirusBuster: I-Worm.Ardurk.G

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

После запуска выдается следующая информация:

Файлы Создается собственная копия:
   • %SYSDIR%\%выполненный файл%.exe

Создает собственную копию с именем файла из списка
С одним из следующих имен:
   • %каждый *.htm файл% .exe

Разделы добавляются в файл.
– Кому: %каждый *.htm файл% .exe Со следующим содержимым:
   • <OBJECT type="application/x-oleobject"CLASSID="%созданный CLSID%"></OBJECT><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Namesd"="%выполненный файл%.exe"

Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %выполненный файл%.exe]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="%выполненный файл%.exe"
   • "ObjectName"="LocalSystem"
   • "ImagePath"="%SYSDIR%\%выполненный файл%.exe "

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %выполненный файл%.exe\Enum]
   • "0"="Root\\LEGACY_%выполненный файл%.EXE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %выполненный файл%.exe\Security]
   • Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

Добавляются следующие ключи реестра:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%выполненный файл%.EXE]
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%выполненный файл%.EXE\0000]
   • "Service"="%выполненный файл%.exe"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="%выполненный файл%.exe"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%выполненный файл%.EXE\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="%выполненный файл%.exe"

– HKCR\CLSID\{%созданный CLSID%}\LocalServer32]
   • @="%Рабочая папка вредоносной программы%\\%выполненный файл%.exe"

– [HKCR\CLSID\{%созданный CLSID%}]
   • @="%каждый *.htm файл% .exe"

– [HKCR\CLSID\{%созданный CLSID%}\LocalServer32]
   • @="%Рабочая папка вредоносной программы%\\%каждый *.htm файл% .exe"

Изменяются следующие ключи реестра:

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   Прежнее значение:
   • @=dword:0000000a
   Новое значение:
   • @=dword:0000000d

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   Прежнее значение:
   • "C"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,43,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,\
      54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
   Новое значение:
   • "C"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,43,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,\
      54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
     "d"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,64,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,64,00,\
      00,00,54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
     "e"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,65,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,65,00,\
      00,00,54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.

Тема:
Следующее:
• CARTOON %случайная ком
Описание добавил Catalin Jora в(о) среда, 3 августа 2005 г.
Описание обновил Catalin Jora в(о) пятница, 19 августа 2005 г.

Назад . . . .

Карта сайта
О сайте
Конфиденциальность
Юридические условия
Индивидуальноe обязательствo
Рассылка
Контакт

Рекомендовать статью другу

Добавить страницу в закладки

twitter

gplus

facebook

Распечатать эту страницу

наверх

Для дома
Avira Free Antivirus
Avira Antivirus Premium
Avira Internet Security
Avira Free Android Security
Avira Free Mac Security

Для предприятий
Клиент-сервер
Avira Professional Security
Avira Server Security
Avira Business Security Suite
Avira Endpoint Security
Avira Free Mac Security
Small Business
Сетевые шлюзы
Avira AntiVir MailGate
Avira MailGate Suite
Avira AntiVir Exchange
Avira AntiVir WebGate
Avira WebGate Suite
Avira AntiVir GateWay Bundle
Avira AntiVir SharePoint
Интеграция
Anti-Malware SDK (SAVAPI)
Antispam SDK (SPACE)
Rebranding и комплектация
Услуги по интеграции
Образовательная Cкидка

Поддержка
Для дома
Для предприятий
Вирусная лаборатория
Жизненный цикл продуктов
Обновление VDF

Партнеры
Поиск партнеров
Стать партнером Avira
Аффилированные партнеры

О компании
Награды
Карьера в компании Avira
Стратегические партнеры
Отзывы наших клиентов

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты