Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.
Является файлом командного интерпретатора (BAT-файл). Имеет размер 3596 байт.
Деструктивная активность
После запуска червь скрывает защищенные системные файлы, устанавливая "0" в параметр "ShowSuperHidden" следующего ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Затем пытается скопировать файл:
%WinDir%\atidrv.exe
в каталог
d:\recycler
Удаляет из каталога Windows файлы с именами:
%WinDir%\yes
%WinDir%\info
После чего при помощи команды "ping" отправляет 20 ICMP запросов на следующий IP:
127.0.0.1
И устанавливает таймаут для ответа в 400 миллисекунд.
Далее червь копирует в коревой каталог логических дисков "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "c" следующие файлы:
%WinDir%\autorun.inf
%WinDir%\ati2.bat
%WinDir%\ati2.vbs
Проверяет наличие доступа к сетевым узлам:
ftp.kam***.ru
***.mine.nu
И создает в каталоге Windows текстовые файлы:
%WinDir%\ati.txt
%WinDir%\sc.txt
%WinDir%\sc2.txt
%WinDir%\sc3.txt
В данные файлы червь сохраняет команды просмотра каталогов и загрузки файлов с удаленного FTP сервера. Используя файлы с командами, вредонос выполняет загрузку файлов с FTP сервера "***.mine.nu", которые затем сохраняет в корневой каталог Windows под именами:
%WinDir%\ras.exe – 39325 байт, детектируется антивирусом Касперского как not-a-virus:PSWTool.Win32.Dialupass.ac
%WinDir%\zip.exe
%WinDir%\bla.exe
%WinDir%\pro.exe – 24297 байт, детектируется антивирусом Касперского как not-a-virus:PSWTool.Win32.PassView.bj
C:\Windows\upd.exe
Также пытается загрузить с FTP сервера:
ftp.kam***.ru
файл "atidrv.exe" и сохранить его в каталог Windows с тем же именем:
%WinDir%\atidrv.exe
На момент создания описания данный FTP сервер не работал. Затем запускает данный файл на выполнение с такими параметрами:
atidrv.exe -o –sviator
При наличии файла с именем:
%WinDir%\upd.exe
запускает его на выполнение, а затем производит его удаление. После этого червь запускает на выполнение файлы "ras.exe" и "pro.exe" с ведением файлов отчетов, которые создаются в том же каталоге. Запуск файлов производится со следующими параметрами:
%WinDir%\ras.exe /allusers /stab %WinDir%\ras.log
%WinDir%\pro.exe /stab %WinDir%\pro.log
Затем червь получает системную информацию компьютера пользователя, а именно:
* Полные сведенья о конфигурации системы.
* Список запущенных процессов.
* Полную информацию о параметрах сети.
* Все сетевые подключения и ожидающие порты.
* Содержимое таблицы маршрутизации.
* Результаты трассировки маршрута к домену "ya.ru".
* Корневой DNS сервер.
* Список всех установленных программ, которые располагаются в
%Program Files%/
Собранную информацию червь сохраняет в файл с именем:
%WinDir%\info
Упаковывает файл при помощи ранее загруженной программы "PKZIP", устанавливая на архив пароль – "viator".
Запускает самораспаковывающийся архив:
%WinDir%\bla.exe
И затем при помощи извлеченного консольного приложения для отправки электронной почты:
%WinDir%\blat.exe
отправляет файл с похищенной информацией
%WinDir%\info.zip
на электронную почту злоумышленника:
***ii2@mail.ru
Также червь пытается удалить все файлы с расширением "mp3", которые находятся на логических дисках "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "c". Ищет все файлы командного интерпретатора (bat-файлы) на дисках "с"-"m", сбрасывает все установленные атрибуты и сохраняет полный путь к файлам в текстовый файл:
%WinDir%\reg2.txt
Пути, которые содержат в себе строку
volume recycled recycler windows
сохраняются в файл:
%WinDir%\reg.txt
На перекрестке науки и фантазии — наш канал