Имя:Worm/Zimuse.A
Обнаружен:25/01/2010
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От среднего до высокого
Файл статистики:Нет
Версия IVDF:7.10.03.65 - понедельник, 25 января 2010 г.

 Общее Метод распространения:
• Autorun feature (ru)


Псевдонимы (аliases):
   •  Symantec: W32.Zimuse
   •  Kaspersky: Virus.Win32.Mseus.a
   •  F-Secure: Dropped:Worm.Zimus.A
   •  Sophos: W32/Mseus-A
   •  VirusBuster: Worm.Mseus.A
   •  Eset: Win32/Zimuse.B
   •  Bitdefender: Worm.Zimuse.A


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра


После активации запускается Windows приложение. При этом отображается следующее окно:


 Файлы Создается собственная копия:
   • %SYSDIR%\tokset.dll



Удаляются следующие файлы:
   • C:\NTDETECT.COM
   • C:\NTLDR
   • C:\BOOTMGR
   • C:\HYBERFILE.SYS
   • C:\BOOT.INI



Создаются следующие файлы:

– Незараженный файл:
   • c:\IQTEST\Iqtest.exe

– c:\IQTEST\Readme.txt Файл является безвредным текстовым файлом со следующим содержимым:
   • Iqtest is configured. To start of IQ test, run IQTEST.EXE in this folder.

%Диск%\ainf.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • [autorun]
     shellexecute=zipsetup.exe /H

%WINDIR%\system32 \DRIVERS\Mstart.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Zimuse.A.4

%SYSDIR%\DRIVERS\Mseu.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Zimuse.A.1

%SYSDIR%\msues.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Zimuse.A.2

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Dump="%PROGRAM FILES%\Dump\Dump.exe"

– [HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\MSTART]
   • EventMessageFile=%SystemRoot%\System32\Drivers\MSTART.SYS;%WINDIR%\MSTART.SYS
   • TypesSupported=dword:7

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • PE Compact

Описание добавил Thomas Wegele в(о) вторник, 26 января 2010 г.
Описание обновил Thomas Wegele в(о) вторник, 26 января 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.