Worm.P2P.Scranor.a

Интернет-червь, распространяющийся через "peer-to-peer" сети Kazaa и iMesh, а также через IRC. Червь является приложением Windows (PE EXE), имеет размер около 12КБ.

Интернет-червь, распространяющийся через "peer-to-peer" сети Kazaa и iMesh, а также через IRC. Червь является приложением Windows (PE EXE), имеет размер около 12КБ.

Инсталляция

После запуска червь создает каталог "Sys32i" в каталоге Program Files и копирует туда себя с именем "Scran.exe". Червь регистрирует данный файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "W32.Scran"="%ProgramDir%\sys32i\Scran.exe"

В этом же каталоге червь создает еще несколько своих копий со следующими именами:

Age of Empires crack.exe 
 Age of Empires.exe
 CD Key.exe 
 Counter Strike 6.exe
 Counter Strike.exe
 Grand Theft Auto 3 CD2 ISO.exe
 Half-Life.exe
 Hotmail account cracker.exe
 Hotmail Hack.exe
 KeyGen.exe
 Microsoft Office.exe
 Norton Anti Virus 2004.exe
 Norton Anti Virus 2005.exe
 Norton Anti Virus Crack.exe
 Norton Firewall.exe 
 Norton Internet Security 2004.exe
 Partition Magic 8.exe
 Playstation 2.exe
 Resident Evil.exe
 Scran.cpl
 Tomb Raider.exe
 Trojan Remover.exe
 Windows XP Home.exe
 Yahoo Hack.exe
 ZoneAlarm Firewall Pro.exe

Данный каталог указывается в системном реестре Windows как Local Content систем файлообмена Kazaa и iMesh:

[HKCU\Software\Kazaa\LocalContent]
 [HKCU\Software\Kazaa\Transfer]
  "dir0"="012345:%ProgramDir%\sys32i\"
 
 [HKCU\Software\iMesh\Client\LocalContent]
  "dir0"="012345:%ProgramDir%\sys32i\"

В результате чего данные файлы становятся доступны для загрузки другими пользователями P2P сетей.

Червь создает уникальный идентификатор для определения своего присутствия в системе, с именем "W32.Scran-Worm".

Размножение через IRC

Червь ищет на компьютере установленный IRC клиент и если такой обнаружен, изменяет содержимое файла script.ini таким образом чтобы пытаться передать свою копию всем пользователям IRC-каналов, на которые заходит владелец зараженного компьютера.

Прочее

Червь загружает с сайта http://www.freewebs.com файл "botnet.jpg" и сохраняет его в корневой каталог диска C: с именем "botnet.exe". Данный файл является очередной модификацией Backdoor.Win32.RBot.gen.

1 января червь выводит на экран message box с текстом:

Ha?
 Happy New Year W32.Scran!!