Net-Worm.Win32. Agent.bk

Сетевой червь, предназначенная для предоставления злоумышленнику удаленного доступа к зараженным компьютерам.

Сетевой червь, предназначенная для предоставления злоумышленнику удаленного доступа к зараженным компьютерам. Является приложением Windows (PE-EXE файл). Имеет размер 62 кБайта.

Инсталляция

При запуске,червь копирует себя в системную директорию:

%windir%\system\winsrc.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
“Windows System Monitor” = %windir%\system\winsrc.exe
Также червь устанавливает в системе руткит, копируя его в следующую папку:
%windir%\system32\drivers\sysdrv.sys
И устанавливает его как сервис, создавая следующую папку системного реестра.
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32

Распространение

Для распостранения по сети программа использует уязвимость MS06-040. Также программа пытается подобрать пароли администратора для соседних компьютеров.

Для распостаранения программа также копирует себя на съемные диски, создавая на них файлы autorun.inf.