Security Lab

W32/WarPigs-E

W32/WarPigs-E

W32/WarPigs-E – червь и IRC бекдор, эксплуатирующий уязвимость в нескольких сетевых службах Microsoft Windows.

W32/WarPigs-E – червь и IRC бекдор, эксплуатирующий уязвимость в нескольких сетевых службах Microsoft Windows.

W32/WarPigs-E для распространения использует другие компьютеры, зараженные Трояном Troj/NetDevil или пытается проэксплуатировать уязвимость в нескольких сетевых службах, включая PNP (MS05-039).

W32/WarPigs-E работает как бекдор сервер, позволяя удаленному атакующему получить доступ к зараженному компьютеру через IRC каналы.

При первом запуске W32/WarPigs-E копирует себя в <System>\reaIplayer.exe и создает следующие ключи реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
atidriver
reaIplayer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
atidriver
reaIplayer.exe

И ключ

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
explorer.exe reaIplayer.exe

в

HKLM\SOFTWARE\Microsoft\MS. update\

 

Умеешь в ИБ?

Делись! Ближайший CIRF* уже 20 мая. Мероприятие бесплатное, но надо зарегистрироваться*

Реклама. 18+. ООО «МКО Системы», ИНН 7709458650
*Corporate incident response and forensics - корпоративное реагирование на инциденты и форензика.