Имя:Worm/Khanani.A
Обнаружен:28/01/2008
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:147.456 байт.
Контрольная сумма MD5:889e0Ae6f6e8469c070Ee2ed3c2d58f8
Версия IVDF:7.00.02.61 - понедельник, 28 января 2008 г.

 Общее Методы распространения:
   • Подключенные сетевые диски
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Mcafee: W32/Bindo.worm
   •  Kaspersky: P2P-Worm.Win32.Malas.h
   •  F-Secure: P2P-Worm.Win32.Malas.h
   •  Eset: Win32/Malas.D
   •  Bitdefender: Win32.Worm.P2P.Agent.AM


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %TEMPDIR%\svchost.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSshare.exe
   • %HOME%\userinit.exe
   • %WINDIR%\Web\OfficeUpdate.exe
   • %Диск%:\autoply.exe



Разделы добавляются в файлы.
– Кому: %ALLUSERSPROFILE%\Start Menu\Programs\Accessories\Calculator.lnk Со следующим содержимым:
   • %код, исполняющий вредоносную программу%

– Кому: %HOME%\Start Menu\Programs\Accessories\Notepad.lnk Со следующим содержимым:
   • %код, исполняющий вредоносную программу%

– Кому: %HOME%\Start Menu\Programs\Accessories\Command Prompt.lnk Со следующим содержимым:
   • %код, исполняющий вредоносную программу%




Создаются следующие файлы:

– Незараженные файлы:
   • %HOME%\Desktop\Important.htm
   • %HOME%\My Documents\Important.htm
   • %HOME%\Desktop\Iran_Israel.Jpg
   • %HOME%\My Documents\Iran_Israel.Jpg
   • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Iran_Israel.Jpg

%Диск%:\Autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Office Update.lnk
%WINDIR%\tasks\at1.job Запланированная задача в виде данного файла запускается в заранее определенное время.
%WINDIR%\tasks\at2.job Запланированная задача в виде данного файла запускается в заранее определенное время.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SoundMax = %HOME%\userinit.exe



Удаляются значения следующих ключей реестра:

–  [HKCR\lnkfile]
   • IsShortCut

–  [HKCR\piffile]
   • IsShortCut

–  [HKCR\InternetShortcut]
   • IsShortCut



Изменяются следующие ключи реестра:

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Прежнее значение:
   • Hidden = %Настройки пользователя%
   • HideFileExt = %Настройки пользователя%
   • ShowSuperHidden = %Настройки пользователя%
   Новое значение:
   • Hidden = 2
   • HideFileExt = 2
   • ShowSuperHidden = 2

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • Nofolderoptions = 1

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия: Производится поиск следующих папок:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\Kazaa\My Shared Folder\
   • %PROGRAM FILES%\Edonkey2000\Incoming\
   • %PROGRAM FILES%\Icq\Shared Files\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\Gnucleus\Downloads\Incoming\
   • %PROGRAM FILES%\KMD\My Shared Folder\
   • %PROGRAM FILES%\Limewire\Shared\
   • %PROGRAM FILES%\XPCode\
   • C:\Inetpub\ftproot\

   При успешном завершении поиска создаются следующие файлы:
   • Sex_ScreenSaver.scr
   • Sex_Game.exe
   • SexGame.exe
   • SexScreenSaver.scr
   • SexGameList.pif
   • Games.lnk

   Файлы являются копиями потенциально опасной программы



Папка общего доступа может выглядеть следующим образом:


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Andrei Gherman в(о) понедельник, 16 июня 2008 г.
Описание обновил Andrei Gherman в(о) понедельник, 16 июня 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.