Security Lab

Worm.Win32. AutoRun.hja

Worm.Win32. AutoRun.hja

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл).

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 142336 байт. Написан на C++.

Инсталляция

После запуска червь копирует свое тело в следующий файл: 

%USERPROFILE%\Application Data\rmhzb.exe
Файл создается с атрибутами "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра: 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"
Таким образом, копия червя будет запускаться процессом "WINLOGON.EXE" даже при загрузке компьютера в "безопасном режиме".

Распространение

Червь копирует свое тело на все доступные для записи съемные диски под следующим именем: 

<имя зараженного раздела>:\SLOBODAN\vasic.exe
Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Вместе со своим исполняемым файлом червь помещает файл: 

<имя зараженного раздела>:\autorun.inf
который позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
name="doc3">

Деструктивная активность

После запуска червь внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, выполняющий следующие действия:

  • в бесконечном цикле создается ключ системного реестра: 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"
  • Блокируется удаление файлов: 
    %USERPROFILE%\Application Data\rmhzb.exe
    <имя зараженного раздела>:\SLOBODAN\vasic.exe
    <имя зараженного раздела>:\autorun.inf
  • Устанавливается соединение со следующими хостами: 
    jebena.anan***ic.su
    peer.pickeklo***ke.ru
  • Если соединение успешно установлено, вредоносным кодом запускается цикл приема команд. По команде злоумышленника могут выполняться следующие действия: - похищение cookie браузера; - загрузка и запуск файлов; - сбор и отправка злоумышленнику информации о системе.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

Qualcomm бросает вызов Intel и Apple новыми процессорами Snapdragon X Plus для Windows ПК

Кофейная ловушка: уязвимость домена Nespresso привела к всплеску фишинговых атак

Заработок мечты или обман? Детали скам-схемы с TON в Telegram

Обнаружена огромная энергетическая вспышка от магнитной нейтронной звезды

Последний полет CloudSat: какие загадки облаков ему удалось разгадать за 18 лет?

Китайский процессор Zhaoxin KX-7000 обходит Skylake в многоядерных тестах

Теневой бизнес адаптируется: как нелегальные казино и букмеркеры обходят ограничения ЦБ

Голдман: генеративный ИИ погибнет от рук бюрократии

Сальвадор, береги свои биткоины: хакеры выложили в сеть исходный код криптокошелька Chivo