Security Lab

Worm.P2P.Scranor.a

Worm.P2P.Scranor.a

Интернет-червь, распространяющийся через "peer-to-peer" сети Kazaa и iMesh, а также через IRC. Червь является приложением Windows (PE EXE), имеет размер около 12КБ.

Интернет-червь, распространяющийся через "peer-to-peer" сети Kazaa и iMesh, а также через IRC. Червь является приложением Windows (PE EXE), имеет размер около 12КБ.

Инсталляция

После запуска червь создает каталог "Sys32i" в каталоге Program Files и копирует туда себя с именем "Scran.exe". Червь регистрирует данный файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "W32.Scran"="%ProgramDir%\sys32i\Scran.exe"

В этом же каталоге червь создает еще несколько своих копий со следующими именами:

Age of Empires crack.exe 
  Age of Empires.exe
  CD Key.exe 
  Counter Strike 6.exe
  Counter Strike.exe
  Grand Theft Auto 3 CD2 ISO.exe
  Half-Life.exe
  Hotmail account cracker.exe
  Hotmail Hack.exe
  KeyGen.exe
  Microsoft Office.exe
  Norton Anti Virus 2004.exe
  Norton Anti Virus 2005.exe
  Norton Anti Virus Crack.exe
  Norton Firewall.exe 
  Norton Internet Security 2004.exe
  Partition Magic 8.exe
  Playstation 2.exe
  Resident Evil.exe
  Scran.cpl
  Tomb Raider.exe
  Trojan Remover.exe
  Windows XP Home.exe
  Yahoo Hack.exe
  ZoneAlarm Firewall Pro.exe

Данный каталог указывается в системном реестре Windows как Local Content систем файлообмена Kazaa и iMesh:

[HKCU\Software\Kazaa\LocalContent]
  [HKCU\Software\Kazaa\Transfer]
   "dir0"="012345:%ProgramDir%\sys32i\"
  
  [HKCU\Software\iMesh\Client\LocalContent]
   "dir0"="012345:%ProgramDir%\sys32i\"

В результате чего данные файлы становятся доступны для загрузки другими пользователями P2P сетей.

Червь создает уникальный идентификатор для определения своего присутствия в системе, с именем "W32.Scran-Worm".

Размножение через IRC

Червь ищет на компьютере установленный IRC клиент и если такой обнаружен, изменяет содержимое файла script.ini таким образом чтобы пытаться передать свою копию всем пользователям IRC-каналов, на которые заходит владелец зараженного компьютера.

Прочее

Червь загружает с сайта http://www.freewebs.com файл "botnet.jpg" и сохраняет его в корневой каталог диска C: с именем "botnet.exe". Данный файл является очередной модификацией Backdoor.Win32.RBot.gen.

1 января червь выводит на экран message box с текстом:

Ha?
  Happy New Year W32.Scran!!

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Новости по теме

Мир в ваших руках: ИИ-дома, ядерные двигатели и атака на крупнейших землевладельцев России

Две формы жизни объединяются в уникальное событие, происходящее раз в миллиард лет

Сознание есть у всех животных, а не только у млекопитающих и птиц

Закат эпохи Z80: чип, завоевавший сердца миллионов, уходит со сцены спустя 48 лет

Комментарии в коде как оружие: ошибка в GitLab позволяет скрытно заражать разработчиков

Шпионаж и обход санкций: как китайские агенты воруют секретные технологии из Европы

85% рынка в руках Microsoft: как корпорация стала главной опасностью для США

ToddyCat: хакеры плотно нацелились на правительства азиатских стран

Темная сторона EDR: как система защиты становится оружием хакера