Worm.Win32. AutoRun.bnb

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 46592 байта. Упакован при помощи AsPack, распакованный размер – около 107 КБ.

Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows:

%System%\[].exe, где и случайные числа

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rising" = "<путь к файлу червя>"

Извлекает из своего тела во временную папку Rootkit-библиотеку:

%Temp%\Bug2.tmp – 12800 байт, детектируется Антивирусом Касперского как Worm.Win32.AutoRun.ll

которая скрывает процесс червя в системе.

Распространение

Червь копирует свой исполняемый файл в корень каждого раздела с именем:

\[].exe, где и - случайные числа, X – буква раздела

Также вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл:

:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

Изменяет тип параметра для следующего ключа реестра с целью блокировки записи в него:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = 0

Червь содержит в себе троянскую компоненту, предназначенную для кражи информации об учетных записях онлайн игры Perfect World. Вредоносная программа ищет в системе процесс с именем "elementclient.exe", и если находит, ищет в его папке файл:

userdata\currentserver.ini

и похищает из него значения следующих параметров:

CurrentGroup

Server

CurrentServer

CurrentServerAddress

Кроме этого вредонос читает память процесса "elementclient.exe" и извлекает из него значения переменных содержащих характеристики персонажа:

* Имя пользователя

* Пароль

* Количество виртуальных денег в игре

Собранные данные червь отправляет в HTTP запросе get на следующие серверы:

***uxian.com.cn

***ulin2.cn

***2i.com.cn