Worm.Win32. Agent.i

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 71168 байт.

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 71168 байт. Упакован при помощи UPX, распакованный размер — около 240 КБ.

Инсталляция

При запуске червь создает следующую папку:

%System%\ace

Вирус извлекает в свою рабочую папку файл и запускает его на исполнение:

WinTask.exe

Данный файл имеет размер 65586 байт, детектируется антивирусом Касперского как Trojan.Win32.Enfal.d.

С целью автоматического запуска при последующем стартах системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "<путь и имя к исполняемому файлу червя>"

А также устанавливает следующее значение ключа реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden = 0

Деструктивная активность

Червь производит на всех разделах жесткого диска поиск файлов с расширениями:

.rar
.pdf
.rtf
.mdb
.txt
.xls
.ppt
.doc

При нахождении подобных файлов вредоносная программа копирует их в папку «%System%\ace\temp». Затем извлекает из своего тела утилиту для архивирования файлов:

%System%\NtApi.exe

И с ее помощью архивирует содержимое указанной папки. Заархивированные файлы сохраняются в папку:

%System%\ace\udis

Архивы имеют расширение «.uda» и имена, соответствующие именам папок, в которых были найдены исходные файлы с вышеназванными расширениями.

Распространение

Червь копирует свой исполняемый файл с именем «Netsvcs.exe» в корневые папки всех логических дисков и устанавливает для него атрибуты «Скрытый» и «Системный». Вирус создает в корневых папках разделов файл «autorun.inf», который при открытии разделов в «Проводнике» Windows запускает исполняемый файл червя. Также червь создает файл «thumbs.db» (в том же месте, что и «autorun.inf») и записывает в него свои настройки.

На сьемных дисках червь создает папку с именем:

  
System Volume Information

И копирует в нее содержимое папки «%System%\ace\udis», т.е. архивы с найденными на компьютере жертвы документами.