Security Lab

Worm.Win32. AutoRun.bhx

Worm.Win32. AutoRun.bhx

Червь, создающий свои копии на съемных носителях информации.

Червь, создающий свои копии на съемных носителях информации. Является приложением Windows (PE-EXE файл). Имеет размер 115760 байт.

Инсталляция

После запуска червь копирует свой исполняемый файл в системный каталог Windows:

%System%\kavo.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"kava" = "%System%\kavo.exe"

Также червь извлекает из своего тела следующий файл:

%System%\kavo0.dll

Данный файл имеет размер 89088 байт и детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.mbs.

Также червь извлекает из своего тела файл размером 31545 байт:

%Temp%\.dll

Распространение

Червь копирует свой исполняемый файл в корень каждого раздела со следующим именем:

:\XAdeIect.com

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:

:\autorun.inf

где – буква раздела.

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

Червь подгружает извлеченную библиотеку во все запущенные в системе процессы.

Также червь перехватывает нажатия клавиш клавиатуры и мыши, если запущен один из следующих процессов:

maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe

Червь собирает информацию об учетных записях игроков следующих игр:

ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver

Собранные данные отправляются на сайт злоумышленника.

Также червь изменяет значения следующих параметров ключей системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "0x91"

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Новости по теме

Вирус OfflRouter уже почти 10 лет остаётся незамеченным в правительственных сетях Украины

Взлом ООН: 8Base наносит мощный удар по борцам с неравенством

Kapeka: новый шпионский инструмент Sandworm атакует Европу

Первый воздушный бой между ИИ и человеком показали в США

Брешь в Cisco IMC: когда хакеры становятся администраторами за пару минут

ФБР объявила охоту на владельца ботнет-сети из Молдовы

Интернет-изгои: SpaceX отключает Starlink в «серых» зонах, оставляя миллионы людей без связи

Защита данных по-новому: российские IT-компании внедряют единый стандарт безопасности

Там, где рождаются кибервымогатели: Sophos исследовала колыбель зла в даркнете