Worm.Win32. AutoRun.hja

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл).

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 142336 байт. Написан на C++.

Инсталляция

После запуска червь копирует свое тело в следующий файл:

%USERPROFILE%\Application Data\rmhzb.exe
Файл создается с атрибутами "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"
Таким образом, копия червя будет запускаться процессом "WINLOGON.EXE" даже при загрузке компьютера в "безопасном режиме".

Распространение

Червь копирует свое тело на все доступные для записи съемные диски под следующим именем:

<имя зараженного раздела>:\SLOBODAN\vasic.exe
Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного раздела>:\autorun.inf
который позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

После запуска червь внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, выполняющий следующие действия:

  • в бесконечном цикле создается ключ системного реестра:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"
  • Блокируется удаление файлов:
    %USERPROFILE%\Application Data\rmhzb.exe
    <имя зараженного раздела>:\SLOBODAN\vasic.exe
    <имя зараженного раздела>:\autorun.inf
  • Устанавливается соединение со следующими хостами:
    jebena.anan***ic.su
    peer.pickeklo***ke.ru
  • Если соединение успешно установлено, вредоносным кодом запускается цикл приема команд. По команде злоумышленника могут выполняться следующие действия: - похищение cookie браузера; - загрузка и запуск файлов; - сбор и отправка злоумышленнику информации о системе.