Имя:Worm/Winko.I
Обнаружен:22/10/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:~17.000 байт.
Версия IVDF:7.00.00.117 - понедельник, 22 октября 2007 г.

 Общее Метод распространения:
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Kaspersky: Worm.Win32.AutoRun.cxp
   •  F-Secure: Worm:W32/AutoRun.CX
   •  Grisoft: Downloader.Small.BYN
   •  Eset: Win32/TrojanDownloader.Flux.AC
   •  Bitdefender: Win32.Worm.Winko.I

Похожее обнаружение:
   •  Worm/Winko.I.%Число%


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Создает потенциально опасный файл
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\%несколько произвольных чисел%.EXE
   • %Диск%\auto.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%SYSDIR%\C%несколько произвольных чисел%.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Autorun.CA




Попытка загрузки следующего файла:

– Следующий URL:
   • http://33.xingaide8.cn/**********/update.txt
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %случайная буквенная комбинация%]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\%несколько произвольных чисел%.EXE -k
   • DisplayName = %случайная буквенная комбинация%
   • ObjectName = LocalSystem
   • Description = C%несколько произвольных чисел%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %случайная буквенная комбинация%\
   Security]
   • Security = %шестнадцатиричное значение%



Удаляются все значения следующего ключа реестра и его подключей:
   • [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Новое значение:
   • CheckedValue = 0

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Новое значение:
   • ReportBootOk= 1

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Новое значение:
   • DoReport = 0
   • ShowUI = 0

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\C%несколько произвольных чисел%.dll

    Все следующие процессы:
   • explorer.exe
   • winlogon.exe
   • %все активные процессы%

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • Upack

Описание добавил Andrei Gherman в(о) понедельник, 16 июня 2008 г.
Описание обновил Andrei Gherman в(о) четверг, 19 июня 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.