Worm/Autorun.czg - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/Autorun.czg
Обнаружен:	27/03/2008
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	13.824 байт.
Контрольная сумма MD5:	d7de4f1f1f388613616ab2f68abeaa62
Версия IVDF:	7.00.03.32

Общее Метод распространения:
   • Подключенные сетевые диски

Псевдонимы (аliases):
   • Mcafee: BackDoor-ACA.b
   • Kaspersky: Worm.Win32.AutoRun.czg
   • F-Secure: Worm.Win32.AutoRun.czg
   • Grisoft: Flooder.EZD
   • Eset: Win32/AutoRun.IX
   • Bitdefender: Trojan.Autorun.PK

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файлы
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются собственные копии:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
   • %Диск%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe

Создаются следующие файлы:

– Незараженный файл:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

– %Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
• StubPath="c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe"

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: tassweq.com
Порт: 7000
Пароль сервера: trb123trb
Канал: #hisham#
Имя: %случайная буквенная комбинация%

– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Войти в чат-комнату IRC
    • Произвести DDoS атаку

Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • EXPLORER.EXE

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

Краткое описание см. здесь.

Описание добавлено: Andrei Gherman Wed, 06 Aug 2008 13:19 (GMT+1)
Описание обновлено: Andrei Gherman Wed, 06 Aug 2008 13:30 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад