Полное описание

Имя:	Worm/P2P.Agent.N
Обнаружен:	19/02/2008
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	1.470.464 байт.
Контрольная сумма MD5:	b1a0bd24b09ccb213a4d961f53ff9d0F
Версия VDF:	7.00.02.153
Версия IVDF:	7.00.02.156 - вторник, 19 февраля 2008 г.

Общее Метод распространения:
   • Одноранговая сеть

Псевдонимы (аliases):
   • Kaspersky: P2P-Worm.Win32.Archivarius.a
   • F-Secure: P2P-Worm.Win32.Archivarius.a
   • Sophos: Troj/Agent-GPY
   • Panda: W32/Archivarius.A.worm
   • Grisoft: Worm/Delf.HEE
   • Eset: Win32/Archivarius.A

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файл
   • Создает потенциально опасный файл
   • Изменение реестра

После запуска выдается следующая информация:

Файлы Создаются собственные копии:
   • %SYSDIR%\WinSecure.exe
   • %TEMPDIR%\Installer-Crack-Keygen.exe

Создаются архивы со своими копиями внутри:
   • %TEMPDIR%\xx%Число%
   • %TEMPDIR%\TEMP1.zip

Создаются следующие файлы:

– Незараженный файл:
   • %SYSDIR%\rar.exe

– Файлы предназначены для временного использования и могут быть удалены.
   • %TEMPDIR%\xx%Число%
   • %TEMPDIR%\TEMP1.zip

– %TEMPDIR%\temp_01.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Delf.own

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • Windows Security Tool="WinSecure.exe"

Изменяются следующие ключи реестра:

– [HKLM\Software\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   Новое значение:
   • TrapPollTimeMilliSecs = 00003a98

– [HKLM\SOFTWARE\Licenses]
   Новое значение:
   • {K7C0DB872A3F777C0} = %шестнадцатиричное значение%
   • {I29A5EA887C231048} = %шестнадцатиричное значение%

P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Для определения стандартных папок для загрузки происходит обращение к реестру:
   • [SOFTWARE\Kazaa\LocalContent\DownloadDir]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop\LimeWire Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop\Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\LimeWire\Shared]
   • [Software\Shareaza\Shareaza\Downloads\CompletePath]
   • [Software\Shareaza\Shareaza\Downloads\CollectionPath]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData\Ares\My Shared Folder]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData\Warez]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData\My Downloads]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\eDonkey2000 Downloads]

   При успешном завершении поиска создаются следующие файлы:
   • Nero 8 Ultra Edition 8.2.1.5 Keygen.rar; Adobe Photoshop CS3
      Keygenerator.rar; Windows XP Home-Professional Genuine Crack.rar;
      Microsoft Office 2008 Crack.rar; FlashGet Ver 1.9.6.1073.rar; Serif
      WebPlus v10.1.1.rar; NetLimiter 2 Pro v2.0.10.1.rar; ZoomPlayer WMV
      Professional v5.01.rar; Video Snapshots Genius v2.1.rar; Just Audio
      Management v3.0.38.rar; Image Cut v1.5.rar; ZeallSoft Music DVD Maker
      v2.2.rar; Winamp Pro v5.52.rar; TextAloud v2.268.rar; Panda Antivirus
      2008 + patcheado actualizado 02-08.rar; Caribbean Hideaway v1.0.rar;
      MasterCAM X2 v.11 SP1.rar; Digital Tutors Introduction To Photoshop
      CS3 2CD ISO.rar; PTC Pro Engineer Wildfire v.4 Graphics Library.rar;
      DiskWarrior v.4.1 rev42 Bootable CD Retail MAC.rar; RoketBox Disk1
      DVD.rar; WireShark University Training Course Bootcamp 02 TCP-IP.rar;
      The Print Shop Pro Publisher 22 Deluxe DVD.rar; Super DVD Creator
      9.rar; VirtualDJ 5.0.rar; X-NetStat Professional 5.5.rar; Boilsoft
      Video Splitter 5.01.rar; Roxio Easy Media Creator Suite 10.rar; Radmin
      Remote Administrator 3.0.rar; LimeWire Pro 4.17.0.rar; Network Magic
      Pro 4.2.7234.0.rar; Acronis Disk Director Suite 10.0.2160.rar; Super
      Internet TV Satellite 7.1.1.rar; Print Folder Pro 3.3.rar; Active
      Webcam 10.1.rar; WinAVI Video Converter 9.rar; Eset NOD32 Complete
      Software Collection 2008.rar; Folder Guard Pro 7.92.rar; Kaspersky
      Internet Security Anti-Virus 7.0.1.321 working KEY (02-08).rar; Winamp
      5.5.2 (funciona con el keygenerador de serial).rar; Movie Label 2008
      3.0.rar; Microsoft Exchange Server 2007.rar; ImTOO 3GP Video Converter
      3.1.23.rar; TuneUp Utilities 2008.rar; Vista Manager 1.4.rar; Sony
      Vegas Pro Studio 8 20071.rar; How to Cheat In Photoshop CS3
      Content.rar; NodLogin 8.0.rar; Smart Wedding 4.0.rar; FrostWire
      4.13.4, Like Limewire But Better.rar; Windows XP 2.0.rar; McAfee Total
      Protection Retail 2008 (con el serial funcionante).rar; BitDefender
      Internet Security (2008).rar; Alive YouTube Video Converter
      1.2.8.8.rar; Fraps Registered 2.9.2.rar; YouTube Get 4.2 (descarga
      videos da youtube ... mui bueno).rar; Microsoft Office Professional
      2007 (con el keygenerador que funciona).rar; UnHackMe 4.9.rar;
      Seepassword 2.055.rar; CloneDVD Mobile 1.1.6.15.rar; AnyDVD HD 6.3.1.5
      (graba dvd funcionante).rar; DVDFab Platinum 4.0.5.55.rar; 8 Start
      Launcher.rar; Windows Media Player 11 con patcheada actualizada
      2008.rar

   Архив содержит копию потенциально опасной программы

Папка общего доступа может выглядеть следующим образом:

Данные файла Язык программирования:
Программа была написана на Delphi.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Ana Maria Niculescu в(о) пятница, 11 апреля 2008 г.
Описание обновил Andrei Gherman в(о) пятница, 18 апреля 2008 г.

Назад . . . .