Worm.Win32. AutoIt.tc

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 808842 байта.

Инсталляция

После запуска червь выполняет следующие действия:

• копирует свое тело в файл:

  %System%\csrcs.exe

  Файл создается с атрибутами "скрытый" (hidden) и "системный" (system).
• Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующие ключи системного реестра:
  [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "csrcs" = "%System%\csrcs.exe"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
  "csrcs" = "%System%\csrcs.exe"
  
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Shell" = "Explorer.exe csrcs.exe"
  При этом исполняемый файл червя будет запускаться процессом "WINLOGON.EXE" даже при загрузке Windows в "Безопасном режиме".
• Для отключения отображения скрытых файлов и каталогов изменяются значения следующих ключей системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  "Hidden" = "2"
  "SuperHidden" = "0"
  "ShowSuperHidden" = "0"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\Showall]
  "CheckedValue" = "1"
  После этого червь запускает созданную копию и завершает свою работу.

Распространение

Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под случайным именем (например: "bxxtic.exe").

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного раздела>:\autorun.inf

что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Деструктивная активность

После запуска червь выполняет следующие действия:

• для идентификации своего присутствия в системе создает ключи системного реестра:
  [HKLM\Software\Microsoft\DRM\amty]
  "ilop" = "1"
  "rem1" = "1"
  "exp1" = "408406541BC5BBE4DC197A2A0C46B9ABF2F90D96B151D7C7BCBD177641EE95F1"
  "epb1" = "noneed"
  "cb2" = "noneed"
  "ic1" = "noneed"
  "regexp" = "-0.82930983286315"
• Удаляет ключ системного реестра:
  [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
  "Logitech SetPoint"
• Создает следующие файлы:

  %Temp%\aut<digit>.tmp

  (9976 байт)

  %Temp%\<rnd>.tmp

  (57982 байта)
  
  где <digit> – случайное шестнадцатеричное число, а <rnd> – случайная последовательность латинских букв (например: "aslbvjd").
  
  Файлы предназначены для временного использования, и удаляются в процессе работы червя.

  %System%\autorun.in

  (1061 байт)

  %System%\autorun.i

  (751 байт)
  
  Файлы содержат следующие строки:

   [Autorun]
  Open=csrcs.exe
  Shellexecute=csrcs.exe
  Shell\Open\command=csrcs.exe
  Shell=Open

• Определяет IP-адрес зараженного компьютера при помощи ресурса:

  www.whatismyip.com

• Выполняет попытку соединения со следующими хостами:

  geo****guo.com
  www.d0***23.com

  Созданное соединение используется для загрузки файлов. Загруженные файлы сохраняются под случайными именами в каталоге:

  %Temporary Internet Files%