Полное описание

Имя:	Worm/Goldun.A
Обнаружен:	12/09/2005
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	20.049 байт.
Контрольная сумма MD5:	a1f9189a474ca1b73dff4ebe05621981
Версия VDF:	6.31.1.230

Общее Метод распространения:
   • Одноранговая сеть

Псевдонимы (аliases):
   • Kaspersky: P2P-Worm.Win32.Goldun.a
   • TrendMicro: WORM_GOLDUN.A
   • Bitdefender: BehavesLike:Win32.ExplorerHijack

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает вредоносные файлы
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию

Файлы – %SYSDIR%\mcfCC4.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой.
– %SYSDIR%\mcfdrv.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   mcfCC4]
   • "DllName"="mcfCC4.dll"
   • "Startup"="mcfCC4"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001
   • "key4"="[117985925899296[CurrentUser]"

Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\mcfdrv]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mcfdrv.sys
   • "DisplayName"="MCFservice"

– [HKLM\SYSTEM\CurrentControlSet\Services\mcfdrv\Enum]
   • "0"="Root\LEGACY_MCFDRV\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\mcfdrv\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

Добавляются следующие ключи реестра:

– [HKCU\Software\iMesh\Client\LocalContent]
   • "DlDir0"="%SYSDIR%\User Local Files"

– [HKCU\Software\Kazaa\LocalContent]
   • "DlDir0"="%SYSDIR%\User Local Files"

– [HKCU\Software\Kazaa\Transfer]
   • "dir0"="012345:%SYSDIR%\User Local Files"

Изменяются следующие ключи реестра:

– [HKCU\Software\iMesh\Client\LocalContent]
   Прежнее значение:
   • "Dir0"="012345:%Настройки пользователя%"
   Новое значение:
   • "Dir0"="012345:%SYSDIR%\User Local Files"

– [HKCU\Software\Kazaa\LocalContent]
   Прежнее значение:
   • "Dir0"="012345:%Настройки пользователя%"
   Новое значение:
   • "Dir0"="012345:%SYSDIR%\User Local Files"

– [HKCU\Software\iMesh\Client\LocalContent]
   Прежнее значение:
   • "DisableSharing"=%Настройки пользователя%
   Новое значение:
   • "DisableSharing"=dword:00000000

– [HKCU\Software\Kazaa\LocalContent]
   Прежнее значение:
   • "DisableSharing"=%Настройки пользователя%
   Новое значение:
   • "DisableSharing"=dword:00000000

– [HKCU\Software\Kazaa\Transfer]
   Прежнее значение:
   • "DlDir0"=%Настройки пользователя%
   Новое значение:
   • "DlDir0"="%SYSDIR%\User Local Files"

P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия: Производится поиск папки:
   • %SYSDIR%\User Local Files\

   При успешном завершении поиска создаются следующие файлы:
   • NAV2005_Keygen!.exe; NAV_updates__05.exe; XXX_teens_16-18.exe;
      WindowsXP boost.exe; photoshop__2005.exe;
      ana**********ex_photos.exe; TheBat!7.51.256.exe;
      NortonAntiVirus.exe; DrWEB_Key092007.exe; LAN_hacker_ver2.exe;
      NeT_KILLER_3.84.exe; julia_XXX_video.exe; Kaspersky_KEY08.exe;
      HACKER'S View 2.exe; Mozilla_1.9.927.exe; ProfessionalICQ.exe

Backdoor Устанавливает соединение с сервером
Следующий:
   • www.**********selwyn.com/IMAGES/PHOTOS/ppages/data.php

В результате может пересылаться информация. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.

Передает информацию о:
    • Созданный лог-файл
    • Текущий пользователь
    • ID платформы

Кража – После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • https://www.e-**********.com/acct/balance.asp
   • https://www.e-**********.com/acct/accountinfo.asp

– Протоколируется:
    • Информация об окне
    • Регистрационная информация

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• FSG 1.33

Описание добавил Oliver Auerbach в(о) понедельник, 12 сентября 2005 г.
Описание обновил Iulia Diaconescu в(о) вторник, 13 сентября 2005 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты