Имя:Worm/Rindu.D
Обнаружен:28/08/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:107.008 байт.
Контрольная сумма MD5:85eeb3645837f31308f44f9746c9bc82
Версия VDF:6.39.01.79
Версия IVDF:6.39.01.082

 Общее Методы распространения:
   • Локальная сеть
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Mcafee: W32/Ridnu.d
   •  Panda: W32/Ridnu.F.drp


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\logonui.scr
   • %SYSDIR%\MyComp.scr
   • %SYSDIR%\userinit.exe
   • %SYSDIR%\sndvol32.exe
   • %SYSDIR%\calc.exe
   • %SYSDIR%\notepad.exe
   • %SYSDIR%\mspaint.exe
   • C:\MSOCache\dlcache\Lagu.scr
   • C:\MSOCache\dlcache\Gambar.scr
   • C:\MSOCache\dlcache\Film.scr
   • C:\MSOCache\dlcache\Dokumen Penting.scr
   • %PROGRAM FILES%\outlook express.scr
   • %PROGRAM FILES%\winamp.scr
   • %PROGRAM FILES%\Windows Media Player.scr
   • %PROGRAM FILES%\Windows NT\dialer.exe
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE



Создается следующая директория:
   • C:\MSOCache\dlcache\



Разделы добавляются в файлы.
– Кому: %SYSDIR%\dllcache\userinit.exe Со следующим содержимым:
   • %выполненный файл%

– Кому: %SYSDIR%\dllcache\sndvol32.exe Со следующим содержимым:
   • %выполненный файл%

– Кому: %SYSDIR%\dllcache\calc.exe Со следующим содержимым:
   • %выполненный файл%

– Кому: %SYSDIR%\dllcache\notepad.exe Со следующим содержимым:
   • %выполненный файл%

– Кому: %SYSDIR%\dllcache\mspaint.exe Со следующим содержимым:
   • %выполненный файл%

– Кому: %SYSDIR%\dllcache\iexplore.exe Со следующим содержимым:
   • %выполненный файл%




Файл будет переписан.
%PROGRAM FILES%

Расширение файла:
   • *.exe

Со следующим содержимым:
   • %выполненный файл%




Копируются следующие файлы:
    •  %SYSDIR%\userinit.exe в %SYSDIR%\dllcache\userinit.exe
    •  %SYSDIR%\sndvol32.exe в %SYSDIR%\dllcache\sndvol32.exe
    •  %SYSDIR%\calc.exe в %SYSDIR%\dllcache\calc.exe
    •  %SYSDIR%\notepad.exe в %SYSDIR%\dllcache\notepad.exe
    •  %SYSDIR%\mspaint.exe в %SYSDIR%\dllcache\mspaint.exe
    •  %PROGRAM FILES%\Internet Explorer\iexplore.exe в %SYSDIR%\dllcache\iexplore.exe



Создается файл:

%WINDIR%\media\suara.mp3

 Реестр Изменяются следующие ключи реестра:

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Прежнее значение:
   • "RegPath"="%Настройки пользователя%"
   Новое значение:
   • "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedDeulleDo-X"

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Прежнее значение:
   • "UncheckedValue"=%Настройки пользователя%
   Новое значение:
   • "UncheckedValue"=dword:00000000

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\ShowFullPathAddress]
   Прежнее значение:
   • "UncheckedValue"=%Настройки пользователя%
   Новое значение:
   • "UncheckedValue"=dword:00000001

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Прежнее значение:
   • "UncheckedValue"=%Настройки пользователя%
   Новое значение:
   • "UncheckedValue"=dword:00000001

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Policies\Microsoft\Windows\System]
   Прежнее значение:
   • "DisableCMD"=%Настройки пользователя%
   Новое значение:
   • "DisableCMD"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Прежнее значение:
   • "FullPathAddress"=%Настройки пользователя%
   Новое значение:
   • "FullPathAddress"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • "Shell"="%Настройки пользователя%"
   Новое значение:
   • "Shell"="Explorer.exe, MyComp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Прежнее значение:
   • "DisableTaskMgr"="%Настройки пользователя%"
     "DisableRegistryTools"=%Настройки пользователя%
   Новое значение:
   • "DisableTaskMgr"="1"
     "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Classes\scrfile]
   Прежнее значение:
   • @=""="%Настройки пользователя%"
     "NeverShowExt"=%Настройки пользователя%
   Новое значение:
   • @="File Folder"
     "NeverShowExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Прежнее значение:
   • "NoFolderOptions"=%Настройки пользователя%
     "NoFind"=%Настройки пользователя%
     "NoRun"=%Настройки пользователя%
   Новое значение:
   • "NoFolderOptions"=dword:00000001
     "NoFind"=dword:00000001
     "NoRun"=dword:00000001
     

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • "ShowSuperHidden"=%Настройки пользователя%
     "HideFileExt"=%Настройки пользователя%
   Новое значение:
   • "ShowSuperHidden"=dword:00000000
     "HideFileExt"=dword:00000001

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • IPC$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\
   • imorxr$\Lagu.scr
   • imorxr$\Gambar.scr
   • imorxr$\Film.scr
   • imorxr$\Dokumen Penting.scr

 Завершение процесса Завершение процессов с одним из следующих имен окна:
   • ANTI; TROJAN; SUPPORT; MASTER; WORM; VIRUS; HACK; CRACK; LINUX; AVG;
      GRISOFT; CILLIN; SECURITY; LOCK; ASSOCIAT; SETUP; VAKSIN; UPDATE;
      TEST; XXX; HIDDEN; DEMO; SYSTEM32; AFEE; NORTON; RONTOK; PCMAV; W32;
      BLACK; MACRO; deulledo; TREND; SPERSKY; REGISTRY; COMMAND; KILL;
      NORMAN; FILM; PORNO; SVQj; PROCEXPL


 Разное Сетевые папки общего доступа:
Создаются следующие сетевые диски общего пользования:
   • imorxr$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\


 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Monica Ghitun в(о) понедельник, 3 сентября 2007 г.
Описание обновил Monica Ghitun в(о) среда, 5 сентября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.