Вирус-червь. Первоначально распространился при помощи спам-рассылки.
Инсталляция
При запуске червь извлекает из своего тела следующие файлы в системный каталог Windows:
%System%\diagisr.dll %System%\isrprf32.dll %System%\isrprov.exe %System%\117X4sHrH5C.dll
С целью автоматического запуска при каждом последующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"himem.exe" = "<путь до исполняемого файла червя> -s"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\diagisr.dll"
Деструктивная активность
Червь подгружает свой компонент «%System%\diagisr.dll» в следующие процессы:
iexplore.exe services.exe firefox.exe opera.exe zlclient.exe zapro.exe smc.exe ccapp.exe outpost.exe mpftray.exe
Данный компонент применяет к каждому из процессов специальные процедуры обхода систем безопансности. Для каждого процесса процедура индивидуальна, однако все они основаны на имитировании нажатий пользователем на кнопки подтверждения разрешения доступа в сеть или другой подозрительной активности.
Также червь пытается отключить службы программ обеспечения безопасности:
Zone Labs Zone Alarm Sygate Personal Firewall Symantec Internet Security Agnitum Outpost Firewall Kaspersky Anti-Virus Personal
Основной компонент червя похищает информацию о контактах из адресной книги Microsoft Outlook, а также из контакт листа программы Yahoo Messenger.
Похищенную информацию червь загружает на один из доступных сайтов злоумышленника:
****kerunskdarun.com ****dinkionkderunjsa.com ****linkdeshkina.com ****ionkertunhasderun.com ****ionkdesunjafunhde.com ****tunjinkderunhasdefun.com ****dunkinmdespish.com ****dinjertiona.com ****erunkiondemfunhas.com ****uiceshkin.com ****etionkasde.com ****onlderunjadesunjerpas.com ****sariomdesin.com ****onjderinjdaserinjde.com ****onmdefunshjin.com ****ionkdesunjadewionsa.com ****defunjdesa.com ****defunhsadefuinn.com ****dasetiondegnas.com ****onkdesunjadefinpiomi.com ****onkdaerinjdefunhsa.com ****onkadesunjionkasde.com ****ndefunhasetrionde.com ****jinpiontunyunde.com ****runjionkdefunhasde.com ****suntiondeunwaserun.com ****sunjiokderunjdaserin.com ****sinlinmaspion.com ****funtionkderunhsa.com ****derionjdepisadrin.com ****dnegunhfaxesun.com ****djeinkdadeisna.com ****nsadehungans.com ****esinjertiopasde.com ****duewnahsuewaa.com ****nmdefuhawuinde.com ****kirationdefun.com ****unkionmasderunhas.com ****ionkdrunjdapolinkdun.com ****npasdinkerinjjas.com ****esunjionderunshishu.com
На перекрестке науки и фантазии — наш канал