Worm.Win32. Fujack.a

Вирус-червь, самокопирующий себя на жесткий диск зараженного компьютера и на доступные для записи сетевые ресурсы. Является приложением Windows (PE EXE-файл). Размер компонентов червя варьируется в пределах от 26 до 129 КБ. Может быть упакован различными упаковщиками.

Инсталляция

При запуске червь копирует свой исполняемый файл в системный каталог Windows:

  %System%\drivers\spoclsv.exe
  

С целью автоматического запуска при последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "Svcshare" = "%System%\drivers\spoclsv.exe"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "Svcshare" = "%System%\drivers\spoclsv.exe"

Деструктивная активность

Червь заражает файлы с расширениями «.exe», «.scr», «.pif», «.com» на всех фиксированных дисках — за исключением файлов в папках, имена которых содержат следующие строки:

  WINDOWS
  Winnt
  Recycled
  Windows NT
  WindowsUpdate
  Windows Media Player
  Outlook Express
  Internet Explorer
  NetMeeting
  Common Files
  ComPlus Applications
  Messenger
  InstallShield Installation Information
  MSN
  Microsoft Frontpage
  Movie Maker
  MSN Gamin Zone

Также не подвергаются инфицированию файлы, размер которых больше 10 млн. 485 тыс. 760 байт.

При заражении файлов червь записывает свой исполняемый файл впереди их оригинального содержимого.

Также вирус пытается заразить файлы, находящиеся в сетевых папках. Для этого он пытается подключиться к удаленным компьютерам в сетевом окружении, используя следующие имена параметры:

Имя пользователя

  Administrator
  Guest
  Admin
  Root

Пароль

  1234
  password
  6969
  harley
  123456
  golf
  pussy
  mustang
  1111
  shadow
  1313
  fish
  5150
  7777
  qwerty
  baseball
  2112
  letmein
  12345678
  12345
  ccc
  admin
  5201314
  qq520
  1
  12
  123
  1234567
  123456789
  654321
  54321
  111
  000000
  abc
  pw
  11111111
  88888888
  pass
  passwd
  database
  abcd
  abc123
  sybase
  123qwe
  server
  computer
  520
  super
  123asd
  Ihavenopass
  godblessyou
  enable
  xp
  2002
  2003
  2600
  alpha
  110
  111111
  121212
  123123
  1234qwer
  123abc
  007
  a
  aaa
  patrick
  pat
  administrator
  root
  sex
  god
  foobar
  secret
  test
  test123
  temp
  temp123
  win
  pc
  asdf
  pwd
  qwer
  yxcv
  zxcv
  home
  xxx
  owner
  login
  Login
  pw123
  love
  mypc
  mypc123
  admin123
  mypass
  mypass123

Червь копирует свой исполняемый файл в корневые каталоги всех съемных дисков под именем «setup.exe» и создает файл «autorun.inf», содержащий ссылку данный файл. Таким образом, при просмотре пользователем содержимого съемного диска при помощи «Проводника» Windows исполняемый файл червя запускается автоматически.

Также вирус останавливает и удаляет следующие службы:

  Schedule
  Sharedaccess
  RsCCenter
  RsRavMon
  KVWSC
  KVSrvXP
  Kavsvc
  AVP
  Kavsvc
  McAfeeFramework
  McShield
  McTaskManager
  Navapsvc
  Wscsvc
  KPfwSvc
  SNDSrvc
  ccProxy
  ccEvtMgr
  ccSetMgr
  SPBBCSvc
  Symantec Core LC
  NPFMntor
  MskService
  FireSvc
  

И удаляет параметры из ключа автозапуска системного реестра:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  RavTask
  KvMonXP
  Kav
  KAVPersonal50
  McAfeeUpdaterU
  Network Associates Error Reporting Service
  ShStatEXE
  YLive.exe
  Yassistse

По следующей ссылке червь скачивает список файлов, предназначенных для загрузки из сети Интернет:

  http://www.ac86.cn/****/mm.txt

Все скачанные файлы сохраняются в корневой каталог Windows («%WinDir%») и запускаются на исполнение.