Имя:WORM/Silly_P2P.H.19
Обнаружен:12/07/2011
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:29.696 байт.
Контрольная сумма MD5:325CE642A016D9EEAE5259C4F4E36060
Версия VDF:7.11.11.68 - вторник, 12 июля 2011 г.
Версия IVDF:7.11.11.68 - вторник, 12 июля 2011 г.

 Общее Методы распространения:
   • Функция автозапуска
   • Messenger


Псевдонимы (аliases):
   •  Kaspersky: Trojan.Win32.Llac.yxq
   •  Sophos: Troj/Agent-RYH
   •  Microsoft: Worm:Win32/Silly_P2P.H


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %APPDATA%\taskeng.exe

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update System"="%APPDATA%\taskeng.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update System"="%APPDATA%\taskeng.exe"



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "Windows Update System"="%APPDATA%\taskeng.exe"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Messenger

URL ссылается на копию описанного вредоносного ПО. Процесс инфицирования повторяется каждый раз при запуске загруженного файла на компьютере пользователя.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: **********ttt.dyndns.info
Порт: 1337
Имя: %случайная буквенная комбинация%



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • ID платформы
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • разорвать соединение с IRC сервером
    • Произвести DDoS атаку
    • Запуск процедуры распространения

 Разное Антиотладка
Проверка отладчика и виртуальной машины с помощью приемов, использующих привязку по времени.

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Ilie в(о) вторник, 11 октября 2011 г.
Описание обновил Andrei Ilie в(о) среда, 12 октября 2011 г.

Назад . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Все права защищены.

Мой Аккаунт

https:// Это окно зашифровано для вашей безопасности.