Имя:Worm/Recycled.A
Обнаружен:11/12/2008
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:13824 байт.
Контрольная сумма MD5:23e7f5e4fd224edcf124fa39e76e3f24
Версия VDF:7.00.04.201
Версия IVDF:7.00.04.205 - вторник, 17 июня 2008 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Win32/Hamweq.A
   •  Mcafee: DDoS-Leba
   •  Kaspersky: IRC-Worm.Win32.Small.t
   •  F-Secure: IRC-Worm.Win32.Small.t
   •  Sophos: W32/Autoham-Fam
   •  Grisoft: Worm/Generic.HGW
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Backdoor.Agent.ZKX


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe



Создается следующая директория:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013



Создается файл:

– c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini Файл является безвредным текстовым файлом со следующим содержимым:
   • [.ShellClassInfo]
     CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 Реестр Добавляется следующий ключ реестра:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
   • StubPath="c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe"

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: hail.dns2go.**********
Порт: 7000
Пароль сервера: 01470147
Имя: mtnelf

Сервер: scorti1.dns2go.**********
Порт: 7000
Пароль сервера: 01470147
Имя: mtnelf


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS SYN атаку
    • Запускается DDoS UDP атака
    • Войти в чат-комнату IRC

 Инфицирование – Объект внедряется в процесс.

    Все следующие процессы:
   • firefox.exe
   • explorer.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Monica Ghitun в(о) четверг, 11 декабря 2008 г.
Описание обновил Monica Ghitun в(о) среда, 17 декабря 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.