Сетевой вирус-червь, заражающий компьютеры под управлением Windows.
Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер 46592 байта.
Вирус распространяется, используя уязвимость Microsoft Windows LSASS (MS04-011).
Инсталляция
После запуска червь копирует себя в системный каталог Windows с произвольным именем. Например:
%System%\Chdmla32.exe
Также червь создает следующие файлы:
* C:\boot.sys — около 16 КБ, инфицирован Trojan-Spy.Win32.Qukart.s; * %System%\<случайное имя файла>.dll — около 6 КБ, инфицирован Net-Worm.Win32.Padobot.z; * %System%\drivers\ndisrd.sys — около 15 КБ, чистый файл; * %System%\<случайное имя файла>.exe — около 14 КБ, инфицирован Net-Worm.Win32.Padobot.z; * %System%\<случайное имя файла>.dll — около 11 КБ, инфицирован Trojan-Spy.Win32.Qukart.s.
Червь создает следующие ключи в системном реестре:
[HKCR\CLSID\{случайный номер CLSID}\InprocServer32] (default)="%System%\<случайное имя файла>.dll" [HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "<произвольное значение>"={случайный номер CLSID} [HKCU\Software\Microsoft\Windows] "ifc"="0x00000000"
Распространение
Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.
Действие
Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.
Также червь отслеживает открытые окна Internet Explorer и сохраняет информацию с открываемых сайтов. Собранная информация отсылается автору червя.
На перекрестке науки и фантазии — наш канал