Net-Worm.Win32. Allaple.a

Червь, распространяющийся по локальной сети. Является приложением Windows (PE EXE-файл). Имеет размер 57856 байт.

Червь, распространяющийся по локальной сети. Является приложением Windows (PE EXE-файл). Имеет размер 57856 байт.

Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows:

%System%\urdvxc.exe

С целью автоматического запуска при каждом последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCR\CLSID\{31D89687-B459-9FEE-EC54-AA92A8105F56}\LocalServer32]
@ = "%System%\urdvxc.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
@ = "%System%\urdvxc.exe"

Также червь создает службу с именем «MSWindows» и псевдонимом «Network Windows Service», которая запускает исполняемый файл червя:

%System%\urdvxc.exe /service

Распространение по локальной сети

Червь получает список доступных в сетевом окружении компьютеров и производит атаки переполнения буфера с использованием уязвимости DCOM RPC. При успешном ее использовании червь посылает на удаленный компьютер микро-загрузчик, который закачивает и запускает основной файл червя.

Также вредоносная программа пытается подключиться к системной записи сетевого администратора, используя следующие пароли:

www
windows
visitor
test2
password
test1
test
temp
telnet
ruler
remote
real
random
qwerty
public
private
poiuytre
passwd
pass
oracle
nopass
nobody
nick
newpass
new
network
monitor
money
manager
mail
login
internet
install
hello
guest
go
X
demo
default
debug
database
crew
computer
coffee
bin
beta
backup
backdoor
anonymous
anon
alpha
adm
access
abc123
system
sys
super
sql
shit
shadow
setup
security
secure
secret
123456789
12345678
1234567
123456
12345
1234
123
12
1
00000000
0000000
000000
00000
0000
000
00
server
asdfgh
root

В случае успешного подключения червь копирует свой исполняемый файл в системный каталог Windows («%System%») на удаленном компьютере.

Деструктивная активность

Червь производит поиск файлов с расширением «.htm» на компьютере пользователя и извлекает из них адреса электронной почты. Найденные адреса отправляются на сайт злоумышленника.

Также вирус обладает функцией загрузки на компьютер пользователя файлов из сети Интернет и их последующего запуска на исполнение.