Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 808842 байта.
После запуска червь выполняет следующие действия:
%System%\csrcs.exeФайл создается с атрибутами "скрытый" (hidden) и "системный" (system).
Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под случайным именем (например: "bxxtic.exe").
Вместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:\autorun.inf
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
После запуска червь выполняет следующие действия:
%Temp%\aut<digit>.tmp(9976 байт)
%Temp%\<rnd>.tmp(57982 байта)
%System%\autorun.in(1061 байт)
%System%\autorun.i(751 байт)
[Autorun]
Open=csrcs.exe
Shellexecute=csrcs.exe
Shell\Open\command=csrcs.exe
Shell=Open
www.whatismyip.com
geo****guo.comСозданное соединение используется для загрузки файлов. Загруженные файлы сохраняются под случайными именами в каталоге:
www.d0***23.com
%Temporary Internet Files%