Net-Worm.Win32. Stavron.a

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы Windows.

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы Windows. Червь представляет собой PE EXE-файл, размером 352768 байт.

Червь распространяется по ресурсам локальной сети и шифрует пользовательские данные на зараженных компьютерах.

Деструктивная активность

Червь распространяется по ресурсам локальной сети. Заражению подвержаны компьютеры с фиксированными IP-адресами.

Червь пытается соединиться с конкретным компьютером в сети, получить имя пользователя и администратора, доступ к различным сервисам зараженной машины.

Если текущая дата зараженного компьютера не позже 9-го марта 2006, то червь выполняет следующие действия:

  • Считывает значение [HKCU\Volatile Environment\LOGONSERVER].
  • Пытается соединиться с компьютером жертвы (Thread).
  • Делает NetUserEnum на компьютер-жертву.
  • Потом NetUserGetInfo чтобы получить информацию об учетной записи (т.о. получает имя учетной записи администратора).
  • Запускает на компьютере жертвы сервисы RemoteRegistry и Seclogon.
  • C помощью RegConnectRegistry удаленно открывает реестр, считывает [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRootNetShareEnum], создаёт список расшаренных ресурсов.
  • Читает [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit] и прописывает себя в этот ключ.
  • Проверяет существование %System%\prognam.exe и удаляет этот файл, если он существует.
  • Проверяет, что сам находится в системном каталоге %System% и восстанавливает себе все атрибуты, как у файла %System32%\at.exe.

После чего червь формирует 20-байтный случайный ключ, используя команды Randomize и RandInt.

Также червь создает на зараженном компьютере следующий файл (3026 байт):

%System\atmsvc.dll

Данный файл содержит случайно сгенерированный набор символов.

Если текущая дата зараженного компьютера меньше 9-го марта 2006, то приложение завершается. В противном случае червь выполняет следующие деструктивные действия:

  • Очищает Event Log.
  • Читает [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit].
  • Вызывает NetWkstaGetInfo от текущего компьютера.
  • Делает NetUserEnum для всех пользователей данного компьютера.
  • Первому пользователю в этом списке с помощью функций NetUserGetInfo и NetUserSetInfo меняется пароль на «@Июнь243$!jav9».

После этого червь формирует список всех логических дисков и список всех файлов на дисках, но удаляет из списков файлы, которые находятся в следующих каталогах:

Documents and Settings
My Documents@_
Program Files
System Volume Information
Windows
WinNT
Мои документы

Также из списка удаляются следующие файлы:

arcldr.exe
arcsetup.exe
AUTOEXEC.BAT
boot.ini
Bootfont.bin
CONFIG.SYS
IO.SYS
MSDOS.SYS
NTDETECT.COM
Ntldr
pagefile.sys

Далее идёт работа со списком:

  • Для каждого файла червь формирует новое название:
    FILEISENCODED <зашифрованное имя оригинального файла>
  • И переименовывает файлы.
  • Проверяет, что размер файла не более 100000000 байт.
  • Создаётся файл lkjhoiuy_$$00 и в него записывает результат шифрования оригинала, после чего оригинальный файл удаляется, и файл lkjhoiuy_$$00 переименовывается в оригинальное имя.

Независимо от действий вредоносной программы, она завершается через 400 секунд после старта.