Имя:Worm/P2Load.A
Обнаружен:16/09/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:45.081 байт.
Контрольная сумма MD5:38f55a87047ebe7e13cb01c036528c6a
Версия VDF:6.32.0.14

 Общее Метод распространения:
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Panda: W32/P2load.A.worm
   •  Bitdefender: Win32.Worm.P2P.Dutt.A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к различным веб-сайтам
   • Загружает файл
   • Изменение реестра


После запуска выдается следующая информация:


 Файлы Создается собственная копия:
   • %SYSDIR%\winlogin.exe



Создается файл:

– %HOME%\Favorites\Musik, Filme, Software und vieles mehr kostenlos!.url



Попытка загрузки следующего файла:

– Следующий URL:
   • http://www.dutty.de/**********.dat
Сохраняется локально в: %WINDIR%\hosts Содержимое используется для модификации хост-файла.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Winlogin"="%SYSDIR%\winlogin.exe"



Изменяется следующий ключ реестра:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Прежнее значение:
   • "Start Page"=%Настройки пользователя%
   • "Search Page"=%Настройки пользователя%
   • "Search Bar"=%Настройки пользователя%
   Новое значение:
   • "Start Page"="http://www.p2p-load.de/share/?l=e"
   • "Search Page"="http://www.p2p-load.de/share/?l=e"
   • "Search Bar"="http://www.p2p-load.de/share/?l=e"

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия: Производится поиск папки:
   • C:\Incoming

   Для определения стандартных папок для загрузки происходит обращение к реестру:
   • HKCU\Software\eMule\Install Path
   • HKCU\Software\Kazaa\localContent\DownloadDir
   • HKCU\Software\iMesh\iMesh5\Transfer\DownloadDir
   • HKCU\Software\Shareaza\Downloads\CompletePath

   При успешном завершении поиска создается следующий файл:
   • %выполненный файл%


 Хосты Хост файл изменяется следующим образом:

– В этом случае удаляются существующие строки.

– При попытке получить доступ к следующим доменам запрос перенаправляется на другой адрес:
   • www.google.de; www.google.at; www.google.se; www.google.nl;
      www.google.ch; www.google.pl; www.google.fr; www.google.ie;
      www.google.it; www.google.lv; www.google.pt; www.google.sk;
      www.google.es; www.google.hu; www.google.es; www.google.gr;
      www.google.com; google.de; google.at; google.se; google.nl; google.ch;
      google.pl; google.fr; google.ie; google.it; google.lv; google.pt;
      google.sk; google.es; google.hu; google.es; google.gr; google.com;
      wwwgoogle.at; wwwgoogle.se; wwwgoogle.nl; wwwgoogle.ch; wwwgoogle.pl;
      wwwgoogle.fr; wwwgoogle.ie; wwwgoogle.it; wwwgoogle.lv; wwwgoogle.pt;
      wwwgoogle.sk; wwwgoogle.es; wwwgoogle.hu; wwwgoogle.es; wwwgoogle.gr;
      wwwgoogle.com; www.gogle.de; www.gogle.at; www.gogle.se; www.gogle.nl;
      www.gogle.ch; www.gogle.pl; www.gogle.fr; www.gogle.ie; www.gogle.it;
      www.gogle.lv; www.gogle.pt; www.gogle.sk; www.gogle.es; www.gogle.hu;
      www.gogle.es; www.gogle.gr; www.gogle.com; gogle.de; gogle.at;
      gogle.se; gogle.nl; gogle.ch; gogle.pl; gogle.fr; gogle.ie; gogle.it;
      gogle.lv; gogle.pt; gogle.sk; gogle.es; gogle.hu; gogle.es; gogle.gr;
      gogle.com; www.googel.de; www.googel.at; www.googel.se; www.googel.nl;
      www.googel.ch; www.googel.pl; www.googel.fr; www.googel.ie;
      www.googel.it; www.googel.lv; www.googel.pt; www.googel.sk;
      www.googel.es; www.googel.hu; www.googel.es; www.googel.gr;
      www.googel.com; googel.de; googel.at; googel.se; googel.nl; googel.ch;
      googel.pl; googel.fr; googel.ie; googel.it; googel.lv; googel.pt;
      googel.sk; googel.es; googel.hu; googel.es; googel.gr; googel.com




Модифицированный хост-файл выглядит следующим образом:


 Данные файла Язык программирования:
 Программа была написана на Delphi.

Описание добавил Oliver Auerbach в(о) пятница, 16 сентября 2005 г.
Описание обновил Andrei Gherman в(о) пятница, 16 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.