Имя:Worm/Autorun.dcm
Обнаружен:27/03/2008
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:13.824 байт.
Контрольная сумма MD5:7e924990480D44af6a239329b2e682cb
Версия VDF:7.00.03.77
Версия IVDF:7.00.03.82 - четверг, 27 марта 2008 г.

 Общее Метод распространения:
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются собственные копии:
   • %корзина%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %Диск%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



Создаются следующие файлы:

– Незараженный файл:
   • %корзина%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%корзина%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: tassweq.com
Порт: 7000
Пароль сервера: trb123trb
Канал: #alhailam
Имя: %случайная буквенная комбинация%


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Начать DDoS SYN атаку
    • Запускается DDoS UDP атака
    • Войти в чат-комнату IRC

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • EXPLORER.EXE

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Ana Maria Niculescu в(о) пятница, 13 июня 2008 г.
Описание обновил Andrei Gherman в(о) четверг, 31 июля 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.