Имя:Worm/MSH.Skowor.A
Обнаружен:18/09/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:17.172 байт.
Контрольная сумма MD5:97221d7994d1f08d8da65c0Cddad43ff
Версия VDF:6.34.01.122
Версия IVDF:6.34.01.127 - вторник, 23 мая 2006 г.

 Общее Метод распространения:
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Symantec: MSH.Cibyz!int
   •  Mcafee: MSH/Cibyz!p2p
   •  Kaspersky: P2P-Worm.MSH.Skowor.a
   •  TrendMicro: WORM_KIBYZ.A
   •  VirusBuster: MSH.Cybiz.
   •  Bitdefender: Worm.MSH.Skowor.A


Операционные системы:
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра


После запуска выдается следующая информация:


 Файлы Создается собственная копия:
   • %SYSDIR%\sk0rCzybik.msh



Создает собственную копию с именем файла из списка
– Кому: %Папка общего доступа Kazaa% С одним из следующих имен:
   • Microsoft Windows Vista Cd-Key.txt.msh
   • Windows Vista Update.msh
   • Ad-aware SE Personal Edition 1.06r1.msh
   • Ashampoo Media Player 2.03 install.msh
   • Allround WinZIP Key Generator.msh
   • Talisman Desktop 2.99 Crack.msh
   • Nero Burning Rom 6.6.0.13 Crack.msh
   • Kaspersky KeyGen working.msh
   • Daemon Tools Install + Crack.rar.msh
   • AVP - AntiVirus Key Generator.msh




Файл будет переписан.
%все подкаталоги%

Расширение файлов:
   • .msh
   • .ps1
   • .bat
   • .cmd
   • .log
   • .ini
   • .txt
   • .js
   • .html

 Реестр Изменяются следующие ключи реестра:

Стартовая страница Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Прежнее значение:
   • "Start Page"="%Настройки пользователя% "
   • "Window Title"="Microsoft Internet Explorer"
   Новое значение:
   • "Start Page"=""
   • "Window Title"="Infected by a poly ps worm"

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000000
   Новое значение:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   Прежнее значение:
   • "RegisteredOrganization"="%Настройки пользователя% "
   • "RegisteredOwner"="%Настройки пользователя% "
   Новое значение:
   • "RegisteredOrganization"="Infected Poly"
   • "RegisteredOwner"="sk0rCzybik"

Описание добавил Alexandru Tudor в(о) понедельник, 18 сентября 2006 г.
Описание обновил Andrei Ivanes в(о) пятница, 13 октября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.