Имя:Worm/Pushbot.NR.1
Обнаружен:13/10/2009
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:75.776 байт.
Контрольная сумма MD5:bcae72a511b2c005dbd46b96345f2bc2
Версия IVDF:7.01.06.104 - вторник, 13 октября 2009 г.

 Общее Метод распространения:
   • Autorun feature (ru)
   • Messenger
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Panda: W32/MSNWorm.HI
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Trojan.Generic.2522251


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает вредоносные файлы
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру
Can be used to lower security settings (ru)

 Файлы Создаются собственные копии:
   • %WINDIR%\livemessenger.com
   • %Диск%\RECYCLER\%CLSID%\usb.exe



Создаются следующие файлы:

%Диск%\RECYCLER\%CLSID%\Desktop.ini
%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://browseusers.myspace.com/Browse/**********


– Следующий URL:
   • http://www.messengermsnimages.net/yah/**********

 Реестр Для повторного запуска процесса после перезагрузки системы к каждому ключу реестра добавляется по одному значению.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%выполненный файл%"="%выполненный
      файл%:*:Enabled:Microsoft Update"

 P2P Производится поиск следующих папок:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   При успешном завершении поиска создаются следующие файлы:
   • DivX 5.0 Pro KeyGen.exe; Counter-Strike KeyGen.exe; IP Nuker.exe;
      Website Hacker.exe; Keylogger.exe; AOL Password Cracker.exe; ICQ
      Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe; MSN Password
      Cracker.exe; Microsoft Visual Studio KeyGen.exe; Microsoft Visual
      Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Sub7 2.3
      Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows Password
      Cracker.exe; Windows Password Cracker.exe; NetBIOS Cracker.exe;
      NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe; Brutus
      FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe; Half-Life 2
      Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced Server
      KeyGen.exe


 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– AIM Messenger
– MSN Messenger
– Yahoo Messenger


Сообщение

   • Schauen Sie dieses Bild an %выполненный файл%
     Look at this picture %выполненный файл%
     mire este retrato %выполненный файл%
     regarder cette image %выполненный файл%
     guardare quest'immagine %выполненный файл%
     Seen this? :D %выполненный файл%

URL ссылается на копию описанного вредоносного ПО. Процесс инфицирования повторяется каждый раз при запуске загруженного файла на компьютере пользователя.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: update.xx**********.com
Канал: #!m!
Имя: [USA|XP|%Число%]

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) четверг, 11 марта 2010 г.
Описание обновил Petre Galan в(о) понедельник, 15 марта 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.