P2P-Worm.Win32. Agent.tc

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через файлообменные сети.

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через файлообменные сети.

Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:

%systemdisk%:\Recycler\S-1-5-21-<rnd>\service.exe
Где %systemdisk% – буква диска, на котором установлена операционная система.

<rnd> – произвольная последовательность из цифр.

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "%systemdisk%:\Recycler\S-1-5-21-<rnd>\service.exe"

Вредоносная программа распостраняется по файлообменным сетям eMule, Kazaa, Shareaza, BearShare, iMesh, DC++, LimeWire, а также через мессенджер MSN. При этом программа копирует свой исполняемый файл в расшаренные папки данных программ под следующими именами:

Crack.exe
Keygen.exe
Также программа копирует себя на сменные носители и сетевые диски, создавая на них файл autorun.inf, в котором содержится ссылка на исполняемый файл вредоносной программы.

Деструктивная активность

Программа встраивает свой код в адресное пространство процесса explorer.exe, изнутри которого соединяется со следующими серверами:

mail3.nad123nad.com
mail3.lebanonbot.com
mail3.enterhere.biz
На данные сетевые адреса программа по протоколу UDP отправляет информацию о зараженном компьютере, такую как имя компьютера и имя пользователя, а также информацию о своем размножении.

Также с указанных адресов программа получает электронные адреса, с которых скачивает другое программное обеспечение, сохраняет его в файл C:\file.exe и запускает.