Worm.Win32.Rahak.a

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Распространяется по слабо защищенным сетевым ресурсам.

Worm.Win32.Rahak.a («Лаборатория Касперского») также известен как: W32/RAHack (McAfee), W32.Rahack (Symantec), Win32.RAHack (Doctor Web), Troj/Agent-BQ (Sophos), Backdoor:Win32/Agent.GO (RAV), BKDR_RASBA.B (Trend Micro), TR/RAHack (H+BEDV), BackDoor.Agent.5.N (Grisoft), Backdoor.Agent.GO (SOFTWIN), W32/Rahack.B (Panda), Win32/Agent.GO (Eset)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Распространяется по слабо защищенным сетевым ресурсам.

Червь представляет собой PE EXE-файл. Имеет размер от 69 КБ и более. Упакован FSG. Размер распакованного файла — около 194 КБ и более.

Инсталляция

После запуска червь копирует себя в системный каталог Windows со следующими именами:


%System%\mscolsrv.exe
%System%\svchsot.exe

Червь может работать как обычное приложение и как сервис (под Windows NT/2K/XP) с именем MSCoolServ.

Также в системном каталоге Windows червь создает следующие файлы:

* %System%\server.dll (около 78 КБ) — детектируется Антивирусом Касперского, как Trojan-Dropper.Win32.Small.pu;

* %System%\syshid.exe (около 5 КБ) — детектируется Антивирусом Касперского, как Worm.Win32.Rahak.a.

Затем червь регистрирует себя в ключах автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
 "sysser"="<путь до оригинального 
запускаемого файла>"

[HKLM\System\CurrentControlSet\
Services\MSCoolServ]
 "ImagePath"="%System%\
mscolsrv.exe -service"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает следующий файл в каталоге автозагрузки:

%UserProfile%\Start Menu\Programs\Startup\system.vbs

Червь изменяет следующий ключ системного реестра таким образом, чтобы при запуске файлов с расширением exe вместо этих файлов на исполнение запускался зараженный файл:


[HKCR\exefile\shell\open\command]
[HKLM\Software\Classes\exefile\shell\open\command]
 "default"="syshid.exe %1 %"

Распространение по сети

Червь распространяется по слабо защищенным сетевым ресурсам.

Червь заражает компьютеры в глобальной сети, на которых установлена утилита удаленного управления Remote Administrator, позволяющая получить доступ к интерфейсу удаленного компьютера в режиме реального времени. Для своей работы RAdmin по умолчанию использует TCP порт 4899. Червь сканирует произвольные IP-адреса компьютеров, слабозащищенных паролем, с открытым TCP портом 4899.

Червь использует следующие пароли:

00000000 
11111111 
12341234 
12345678 
123456789 
password 
qwertyui

Далее червь копирует себя на удаленный компьютер в следующую папку со следующим именем:


C:\wutemp\srvsxc.exe

После чего запускает данный файл на исполнение.

Действия

На зараженном компьютере червь ищет файлы с расширениями htm и html и копирует себя в те же папки с теми же именами с расширением exe.

Червь изменяет оригинальные htm и html файлы, дописывая в них код, запускающий вместо них копию вируса.