Полное описание

Имя:	Worm/MSH.Skowor.A
Обнаружен:	18/09/2006
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	Средний
Потенциал повреждений:	От среднего до высокого
Файл статистики:	Да
Размер файла:	17.172 байт.
Контрольная сумма MD5:	97221d7994d1f08d8da65c0Cddad43ff
Версия VDF:	6.34.01.122
Версия IVDF:	6.34.01.127 - вторник, 23 мая 2006 г.

Общее Метод распространения:
   • Одноранговая сеть

Псевдонимы (аliases):
   • Symantec: MSH.Cibyz!int
   • Mcafee: MSH/Cibyz!p2p
   • Kaspersky: P2P-Worm.MSH.Skowor.a
   • TrendMicro: WORM_KIBYZ.A
   • VirusBuster: MSH.Cybiz.
   • Bitdefender: Worm.MSH.Skowor.A

Операционные системы:
   • Windows XP
   • Windows 2003

Последствия:
   • Изменение реестра

После запуска выдается следующая информация:

Файлы Создается собственная копия:
   • %SYSDIR%\sk0rCzybik.msh

Создает собственную копию с именем файла из списка
– Кому: %Папка общего доступа Kazaa% С одним из следующих имен:
   • Microsoft Windows Vista Cd-Key.txt.msh
   • Windows Vista Update.msh
   • Ad-aware SE Personal Edition 1.06r1.msh
   • Ashampoo Media Player 2.03 install.msh
   • Allround WinZIP Key Generator.msh
   • Talisman Desktop 2.99 Crack.msh
   • Nero Burning Rom 6.6.0.13 Crack.msh
   • Kaspersky KeyGen working.msh
   • Daemon Tools Install + Crack.rar.msh
   • AVP - AntiVirus Key Generator.msh

Файл будет переписан.
– %все подкаталоги%

Расширение файлов:
   • .msh
   • .ps1
   • .bat
   • .cmd
   • .log
   • .ini
   • .txt
   • .js
   • .html

Реестр Изменяются следующие ключи реестра:

Стартовая страница Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Прежнее значение:
   • "Start Page"="%Настройки пользователя% "
   • "Window Title"="Microsoft Internet Explorer"
   Новое значение:
   • "Start Page"=""
   • "Window Title"="Infected by a poly ps worm"

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000000
   Новое значение:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   Прежнее значение:
   • "RegisteredOrganization"="%Настройки пользователя% "
   • "RegisteredOwner"="%Настройки пользователя% "
   Новое значение:
   • "RegisteredOrganization"="Infected Poly"
   • "RegisteredOwner"="sk0rCzybik"

Описание добавил Alexandru Tudor в(о) понедельник, 18 сентября 2006 г.
Описание обновил Andrei Ivanes в(о) пятница, 13 октября 2006 г.

Назад . . . .