Net-Worm.Win32.Padobot.z
Сетевой вирус-червь, заражающий компьютеры под управлением Windows.
Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер 46592 байта.
Вирус распространяется, используя уязвимость Microsoft Windows LSASS (MS04-011).
Инсталляция
После запуска червь копирует себя в системный каталог Windows с произвольным именем. Например:
%System%\Chdmla32.exe
Также червь создает следующие файлы:
* C:\boot.sys — около 16 КБ, инфицирован Trojan-Spy.Win32.Qukart.s;
* %System%\<случайное имя файла>.dll — около 6 КБ, инфицирован Net-Worm.Win32.Padobot.z;
* %System%\drivers\ndisrd.sys — около 15 КБ, чистый файл;
* %System%\<случайное имя файла>.exe — около 14 КБ, инфицирован Net-Worm.Win32.Padobot.z;
* %System%\<случайное имя файла>.dll — около 11 КБ, инфицирован Trojan-Spy.Win32.Qukart.s.
Червь создает следующие ключи в системном реестре:
[HKCR\CLSID\{случайный номер CLSID}\InprocServer32]
(default)="%System%\<случайное имя файла>.dll"
[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"<произвольное значение>"={случайный номер CLSID}
[HKCU\Software\Microsoft\Windows]
"ifc"="0x00000000"
Распространение
Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.
Действие
Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.
Также червь отслеживает открытые окна Internet Explorer и сохраняет информацию с открываемых сайтов. Собранная информация отсылается автору червя.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!