Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 420925 байта. Упакован UPX. Распакованный размер – около 871 КБ.
После запуска червь выполняет следующие действия:
%System%\win32\csrss.exeфайлы создаются с атрибутами "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
%System%\csrss.exe
%System%\domain.exe
Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под именем:
< имя зараженного раздела >:\iostream.exeВместе со своим исполняемым файлом червь помещает файл:
< имя зараженного раздела >:\autorun.infчто позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Производит поиск на всех доступных для записи сетевых, логических и съемных дисках файлов без расширения и копирует себя по найденному пути с именем:
< имя файла>.exeПроизводит поиск на всех доступных для записи сетевых, логических и съемных дисках папок и копирует себя по найденному пути с именем:
< имя папки>.exeСозданным файлам присваиваются атрибуты "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
После запуска червь выполняет следующие действия:
"rundll32.exe",то открывает сетевой доступ к диску:
%Homedrive%