Worm.BAT. Autorun.dl

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.

Является файлом командного интерпретатора (BAT-файл). Имеет размер 3596 байт.

Деструктивная активность

После запуска червь скрывает защищенные системные файлы, устанавливая "0" в параметр "ShowSuperHidden" следующего ключа системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

Затем пытается скопировать файл:

%WinDir%\atidrv.exe

в каталог

d:\recycler

Удаляет из каталога Windows файлы с именами:

%WinDir%\yes
%WinDir%\info

После чего при помощи команды "ping" отправляет 20 ICMP запросов на следующий IP:

127.0.0.1

И устанавливает таймаут для ответа в 400 миллисекунд.

Далее червь копирует в коревой каталог логических дисков "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "c" следующие файлы:

%WinDir%\autorun.inf
%WinDir%\ati2.bat
%WinDir%\ati2.vbs

Проверяет наличие доступа к сетевым узлам:

ftp.kam***.ru
***.mine.nu

И создает в каталоге Windows текстовые файлы:

%WinDir%\ati.txt
%WinDir%\sc.txt
%WinDir%\sc2.txt
%WinDir%\sc3.txt

В данные файлы червь сохраняет команды просмотра каталогов и загрузки файлов с удаленного FTP сервера. Используя файлы с командами, вредонос выполняет загрузку файлов с FTP сервера "***.mine.nu", которые затем сохраняет в корневой каталог Windows под именами:

%WinDir%\ras.exe – 39325 байт, детектируется антивирусом Касперского как not-a-virus:PSWTool.Win32.Dialupass.ac
%WinDir%\zip.exe
%WinDir%\bla.exe
%WinDir%\pro.exe – 24297 байт, детектируется антивирусом Касперского как not-a-virus:PSWTool.Win32.PassView.bj
C:\Windows\upd.exe

Также пытается загрузить с FTP сервера:

ftp.kam***.ru

файл "atidrv.exe" и сохранить его в каталог Windows с тем же именем:

%WinDir%\atidrv.exe

На момент создания описания данный FTP сервер не работал. Затем запускает данный файл на выполнение с такими параметрами:

atidrv.exe -o –sviator

При наличии файла с именем:

%WinDir%\upd.exe

запускает его на выполнение, а затем производит его удаление. После этого червь запускает на выполнение файлы "ras.exe" и "pro.exe" с ведением файлов отчетов, которые создаются в том же каталоге. Запуск файлов производится со следующими параметрами:

%WinDir%\ras.exe /allusers /stab %WinDir%\ras.log
%WinDir%\pro.exe /stab %WinDir%\pro.log

Затем червь получает системную информацию компьютера пользователя, а именно:

* Полные сведенья о конфигурации системы.

* Список запущенных процессов.

* Полную информацию о параметрах сети.

* Все сетевые подключения и ожидающие порты.

* Содержимое таблицы маршрутизации.

* Результаты трассировки маршрута к домену "ya.ru".

* Корневой DNS сервер.

* Список всех установленных программ, которые располагаются в

       %Program Files%/

Собранную информацию червь сохраняет в файл с именем:

%WinDir%\info

Упаковывает файл при помощи ранее загруженной программы "PKZIP", устанавливая на архив пароль – "viator".

Запускает самораспаковывающийся архив:

%WinDir%\bla.exe

И затем при помощи извлеченного консольного приложения для отправки электронной почты:

%WinDir%\blat.exe

отправляет файл с похищенной информацией

%WinDir%\info.zip

на электронную почту злоумышленника:

***ii2@mail.ru

Также червь пытается удалить все файлы с расширением "mp3", которые находятся на логических дисках "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "c". Ищет все файлы командного интерпретатора (bat-файлы) на дисках "с"-"m", сбрасывает все установленные атрибуты и сохраняет полный путь к файлам в текстовый файл:

%WinDir%\reg2.txt

Пути, которые содержат в себе строку

volume recycled recycler windows

сохраняются в файл:

%WinDir%\reg.txt