Worm.Win32. AutoRun.ezj

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 420925 байта. Упакован UPX. Распакованный размер – около 871 КБ.

Инсталляция

После запуска червь выполняет следующие действия:

  • Копирует себя по пути:
    %System%\win32\csrss.exe
    %System%\csrss.exe
    %System%\domain.exe
    файлы создаются с атрибутами "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
  • Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующий ключ системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    < LOGONDOMAIN "@" IPADDRESS > = %System%\domain.exe
  • Для отключения отображения скрытых файлов и каталогов изменяются значения следующих ключей системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden" = "2"
    "HideFileExt" = "1"


    [HKCU\Software\Microsoft\Windows\CurrentVersion\Polices\Explorer]
    "NofolderOptions" = "1"

Распространение

Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под именем:

< имя зараженного раздела >:\iostream.exe
Вместе со своим исполняемым файлом червь помещает файл:
< имя зараженного раздела >:\autorun.inf
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Производит поиск на всех доступных для записи сетевых, логических и съемных дисках файлов без расширения и копирует себя по найденному пути с именем:

< имя файла>.exe
Производит поиск на всех доступных для записи сетевых, логических и съемных дисках папок и копирует себя по найденному пути с именем:
< имя папки>.exe
Созданным файлам присваиваются атрибуты "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).

Деструктивная активность

После запуска червь выполняет следующие действия:

  • Создает нового пользователя root с паролем 3645923527 и добавляет его в группу «Administrators».
  • Если среди запущенных процессов присутствует:
    "rundll32.exe",
    то открывает сетевой доступ к диску:
    %Homedrive%
  • Разрешает удаленные подключения к компьютеру пользователя по протоколу RDP, создавая следующие ключи системного реестра:
    [HKLM\System\CurrentControlSet\Control\Terminal Server]
    "fDenyTSConnections" = 0
    "MaxOutstandingConnect" = 143
    "EnableConcurrentSessions" = 9
  • Отключает редактор реестра и диспетчер задач, создавая следующие ключи системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Polices\System]
    "DisableTaskMgr" = "0"
    "DisableRegistryTools" = "0"