Worm.Win32. AutoRun.ezj

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 420925 байта. Упакован UPX. Распакованный размер – около 871 КБ.

Инсталляция

После запуска червь выполняет следующие действия:

• Копирует себя по пути:

  %System%\win32\csrss.exe
  %System%\csrss.exe
  %System%\domain.exe

  файлы создаются с атрибутами "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
• Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующий ключ системного реестра:
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  < LOGONDOMAIN "@" IPADDRESS > = %System%\domain.exe
• Для отключения отображения скрытых файлов и каталогов изменяются значения следующих ключей системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  "Hidden" = "2"
  "HideFileExt" = "1"
  
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Polices\Explorer]
  "NofolderOptions" = "1"
  

Распространение

Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под именем:

< имя зараженного раздела >:\iostream.exe

Вместе со своим исполняемым файлом червь помещает файл:

< имя зараженного раздела >:\autorun.inf

что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Производит поиск на всех доступных для записи сетевых, логических и съемных дисках файлов без расширения и копирует себя по найденному пути с именем:

< имя файла>.exe

Производит поиск на всех доступных для записи сетевых, логических и съемных дисках папок и копирует себя по найденному пути с именем:

< имя папки>.exe

Созданным файлам присваиваются атрибуты "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
name="doc3">

Деструктивная активность

После запуска червь выполняет следующие действия:

• Создает нового пользователя root с паролем 3645923527 и добавляет его в группу «Administrators».
• Если среди запущенных процессов присутствует:

  "rundll32.exe",

  то открывает сетевой доступ к диску:

  %Homedrive%

• Разрешает удаленные подключения к компьютеру пользователя по протоколу RDP, создавая следующие ключи системного реестра:
  [HKLM\System\CurrentControlSet\Control\Terminal Server]
  "fDenyTSConnections" = 0
  "MaxOutstandingConnect" = 143
  "EnableConcurrentSessions" = 9
• Отключает редактор реестра и диспетчер задач, создавая следующие ключи системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Polices\System]
  "DisableTaskMgr" = "0"
  "DisableRegistryTools" = "0"