Worm.Win32. Fujack.a

Вирус-червь, самокопирующий себя на жесткий диск зараженного компьютера и на доступные для записи сетевые ресурсы.

Вирус-червь, самокопирующий себя на жесткий диск зараженного компьютера и на доступные для записи сетевые ресурсы. Является приложением Windows (PE EXE-файл). Размер компонентов червя варьируется в пределах от 26 до 129 КБ. Может быть упакован различными упаковщиками.

Инсталляция

При запуске червь копирует свой исполняемый файл в системный каталог Windows:

%System%\drivers\spoclsv.exe

С целью автоматического запуска при последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Svcshare" = "%System%\drivers\spoclsv.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Svcshare" = "%System%\drivers\spoclsv.exe"

Деструктивная активность

Червь заражает файлы с расширениями «.exe», «.scr», «.pif», «.com» на всех фиксированных дисках — за исключением файлов в папках, имена которых содержат следующие строки:

WINDOWS
Winnt
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

Также не подвергаются инфицированию файлы, размер которых больше 10 млн. 485 тыс. 760 байт.

При заражении файлов червь записывает свой исполняемый файл впереди их оригинального содержимого.

Также вирус пытается заразить файлы, находящиеся в сетевых папках. Для этого он пытается подключиться к удаленным компьютерам в сетевом окружении, используя следующие имена параметры:

Имя пользователя

Administrator
Guest
Admin
Root

Пароль

1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
Ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123

Червь копирует свой исполняемый файл в корневые каталоги всех съемных дисков под именем «setup.exe» и создает файл «autorun.inf», содержащий ссылку данный файл. Таким образом, при просмотре пользователем содержимого съемного диска при помощи «Проводника» Windows исполняемый файл червя запускается автоматически.

Также вирус останавливает и удаляет следующие службы:

Schedule
Sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
Kavsvc
AVP
Kavsvc
McAfeeFramework
McShield
McTaskManager
Navapsvc
Wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

И удаляет параметры из ключа автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
RavTask
KvMonXP
Kav
KAVPersonal50
McAfeeUpdaterU
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
Yassistse

По следующей ссылке червь скачивает список файлов, предназначенных для загрузки из сети Интернет:

http://www.ac86.cn/****/mm.txt

Все скачанные файлы сохраняются в корневой каталог Windows («%WinDir%») и запускаются на исполнение.