Червь, распространяющийся через съемные носители.
Инсталляция
При запуске червь копирует свой исполняемый файл в системный каталог Windows:
%System%\usbmons.exe
Также червь извлекает из своего тела библиотеку размером 22016 байт:
%System%\usbmons.dllДля автоматического запуска при следующем старте системы червь добавляет ссылку на свой файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\usbmon]
"DLLName" = "%System%\usbmons.dll"
"Shutdown" = "DoShutdown"
"Startup" = "DoStartup"
"Asynchronous" = "00000001"
"Impersonate" = "00000000"
Распространение
Червь копирует свой исполняемый файл в корень каждого съемного раздела с именем:
:\RECYCLER\RECYCLER\autorun.exe
, где X – буква раздела
Также вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл:
:\autorun.inf
который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность
Червь извлекает из своего тела следующие файлы:
%System%\kb20060826.log
– имеет размер 119 296 байт
%System%\NETLIB32.DLL
– имеет размер 98 304 байта
И создает службу с именем "CAPAPI32", которая запускает файл "%System%\NETLIB32.DLL" при каждой следующей загрузке ОС.
Данный файл является руткитом, который подгружает себя в процесс iexplore.exe и скрывает свой исполняемый файл на жестком диске и в списках модулей процессов. Данный руткит делает скриншоты окна программы Internet Explorer и отправляет их на сайт злоумышленников: 61.178.141.***