Worm.Win32. AutoRun.bnb
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.
Инсталляция
Червь копирует свой исполняемый файл в системный каталог Windows:
%System%\[].exe, где и случайные числа
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rising" = "<путь к файлу червя>"
Извлекает из своего тела во временную папку Rootkit-библиотеку:
%Temp%\Bug2.tmp – 12800 байт, детектируется Антивирусом Касперского как Worm.Win32.AutoRun.ll
которая скрывает процесс червя в системе.
Распространение
Червь копирует свой исполняемый файл в корень каждого раздела с именем:
\[].exe, где и - случайные числа, X – буква раздела
Также вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл:
:\autorun.inf
который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность
Изменяет тип параметра для следующего ключа реестра с целью блокировки записи в него:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = 0
Червь содержит в себе троянскую компоненту, предназначенную для кражи информации об учетных записях онлайн игры Perfect World. Вредоносная программа ищет в системе процесс с именем "elementclient.exe", и если находит, ищет в его папке файл:
userdata\currentserver.ini
и похищает из него значения следующих параметров:
CurrentGroup
Server
CurrentServer
CurrentServerAddress
Кроме этого вредонос читает память процесса "elementclient.exe" и извлекает из него значения переменных содержащих характеристики персонажа:
* Имя пользователя
* Пароль
* Количество виртуальных денег в игре
Собранные данные червь отправляет в HTTP запросе get на следующие серверы:
***uxian.com.cn
***ulin2.cn
***2i.com.cn
Большой брат следит за вами, но мы знаем, как остановить его