NancyAjram Backdoor (Email-Worm.Win32.Jalabed.a)

Бекдор/сетевой червь, написанный Халедом.

Бекдор/сетевой червь, написанный Халедом. Этот Троян распостраняется через IRC, сеть и outlook.
Серверная часть содержит один или несколько файлов:

c:\Security.vbs    Размер:  741 байт
c:\dlls\ArabicStrip.wma.exe              Размер:  49,152 байт
c:\dlls\FuckFuckFuck.mpg.exe             Размер:  49,152 байт
c:\dlls\FuckMovie.wma.exe                Размер:  49,152 байт
c:\dlls\HotMovie.wma.exe                 Размер:  49,152 байт
c:\dlls\mailit.vbs                       Размер:  895 байт
c:\dlls\MissLebanon.jpg.exe              Размер:  49,152 байт
c:\dlls\MyFirstSex.wma.exe               Размер:  49,152 байт
c:\dlls\SexCaptured.jpg.exe              Размер:  49,152 байт
c:\dlls\SexMovie.mpg.exe                 Размер:  49,152 байт
c:\dlls\SexyArabicGirl.jpg.exe           Размер:  49,152 байт
c:\dlls\SexyHaifa.jpg.exe                Размер:  49,152 байт
c:\dlls\SexyLebaneseGirl.jpg.exe         Размер:  49,152 байт
c:\dlls\SexyNancy.jpg.exe                Размер:  49,152 байт
c:\dlls\StolenSexVideo.wma.exe           Размер:  49,152 байт
c:\dlls\WindowsScreen.vbs                Размер:  407 байт
c:\WINDOWS\Libancall14@hotmail.de.txt    Размер:  93 байт
c:\WINDOWS\system32\NancyAjram.exe       Размер:  49,152 байт




Также создает следующие ключи реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDrives"
data: FF, FF, FF, 03

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoRun"
data: 01, 00, 00, 00

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools"
data: 01, 00, 00, 00

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "NoAdminPage"
data: 01, 00, 00, 00

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp "Disabled"
data: 01, 00, 00, 00

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Ya Salam"
data: C:\WINDOWS\System32\NancyAjram.exe