Worm.Win32. Fujack.a

Вирус-червь, самокопирующий себя на жесткий диск зараженного компьютера и на доступные для записи сетевые ресурсы.

Вирус-червь, самокопирующий себя на жесткий диск зараженного компьютера и на доступные для записи сетевые ресурсы. Является приложением Windows (PE EXE-файл). Размер компонентов червя варьируется в пределах от 26 до 129 КБ. Может быть упакован различными упаковщиками.

Инсталляция

При запуске червь копирует свой исполняемый файл в системный каталог Windows:

 %System%\drivers\spoclsv.exe
 

С целью автоматического запуска при последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "Svcshare" = "%System%\drivers\spoclsv.exe"
 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Svcshare" = "%System%\drivers\spoclsv.exe"

Деструктивная активность

Червь заражает файлы с расширениями «.exe», «.scr», «.pif», «.com» на всех фиксированных дисках — за исключением файлов в папках, имена которых содержат следующие строки:

 WINDOWS
 Winnt
 Recycled
 Windows NT
 WindowsUpdate
 Windows Media Player
 Outlook Express
 Internet Explorer
 NetMeeting
 Common Files
 ComPlus Applications
 Messenger
 InstallShield Installation Information
 MSN
 Microsoft Frontpage
 Movie Maker
 MSN Gamin Zone

Также не подвергаются инфицированию файлы, размер которых больше 10 млн. 485 тыс. 760 байт.

При заражении файлов червь записывает свой исполняемый файл впереди их оригинального содержимого.

Также вирус пытается заразить файлы, находящиеся в сетевых папках. Для этого он пытается подключиться к удаленным компьютерам в сетевом окружении, используя следующие имена параметры:

Имя пользователя

 Administrator
 Guest
 Admin
 Root

Пароль

 1234
 password
 6969
 harley
 123456
 golf
 pussy
 mustang
 1111
 shadow
 1313
 fish
 5150
 7777
 qwerty
 baseball
 2112
 letmein
 12345678
 12345
 ccc
 admin
 5201314
 qq520
 1
 12
 123
 1234567
 123456789
 654321
 54321
 111
 000000
 abc
 pw
 11111111
 88888888
 pass
 passwd
 database
 abcd
 abc123
 sybase
 123qwe
 server
 computer
 520
 super
 123asd
 Ihavenopass
 godblessyou
 enable
 xp
 2002
 2003
 2600
 alpha
 110
 111111
 121212
 123123
 1234qwer
 123abc
 007
 a
 aaa
 patrick
 pat
 administrator
 root
 sex
 god
 foobar
 secret
 test
 test123
 temp
 temp123
 win
 pc
 asdf
 pwd
 qwer
 yxcv
 zxcv
 home
 xxx
 owner
 login
 Login
 pw123
 love
 mypc
 mypc123
 admin123
 mypass
 mypass123

Червь копирует свой исполняемый файл в корневые каталоги всех съемных дисков под именем «setup.exe» и создает файл «autorun.inf», содержащий ссылку данный файл. Таким образом, при просмотре пользователем содержимого съемного диска при помощи «Проводника» Windows исполняемый файл червя запускается автоматически.

Также вирус останавливает и удаляет следующие службы:

 Schedule
 Sharedaccess
 RsCCenter
 RsRavMon
 KVWSC
 KVSrvXP
 Kavsvc
 AVP
 Kavsvc
 McAfeeFramework
 McShield
 McTaskManager
 Navapsvc
 Wscsvc
 KPfwSvc
 SNDSrvc
 ccProxy
 ccEvtMgr
 ccSetMgr
 SPBBCSvc
 Symantec Core LC
 NPFMntor
 MskService
 FireSvc
 

И удаляет параметры из ключа автозапуска системного реестра:

 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 RavTask
 KvMonXP
 Kav
 KAVPersonal50
 McAfeeUpdaterU
 Network Associates Error Reporting Service
 ShStatEXE
 YLive.exe
 Yassistse

По следующей ссылке червь скачивает список файлов, предназначенных для загрузки из сети Интернет:

 http://www.ac86.cn/****/mm.txt

Все скачанные файлы сохраняются в корневой каталог Windows («%WinDir%») и запускаются на исполнение.