Признаки:
Распространяется, копируя себя в директории общего доступа приложений работы с файлообменными сетями KaZaA, eDonkey, а также чат-приложения mIRC.
Использует завлекающие имена, в частности:
* ADAWARE2008FULL.RAR.SCR
* AHEAD_NERO_9_NEW!_FULL+CRACK.ZIP.SCR
* ANTISPYWARE.RAR.SCR
* ANTIVIRUS.RAR.SCR
* CRACKJUEGOS.RAR.SCR
* HACKEARSMS.RAR.SCR
* ICQ_2008_NEW!_FULL+CRACK.ZIP.SCR
* KEYGENNORTON.RAR.SCR
* MAILER.RAR.SCR
* MANDARSMSMEXICO.SCR
* MEXICOCRACK.EXE
* MODELOSSEXYS.AVI.SCR
* ONLINESEX.EXE
* PANDA2008.RAR.SCR
* REGARGADECELULAR.EXE
* SEXOGRATIS.EXE
* SMSGRATIS.EXE
* SUBSEVEN2008.RAR.SCR
* VIDEOSXXX.AVI.SCR
* VISTACRACK.RAR.SCR
* WEBCAM.RAR.SCR
* WEBCAMSGRATIS.EXE
* WINAMPFULL.RAR.SCR
При запуске создает в директории Windows файлы, представляющие собой копию троянов семейства Banker:
* 1-N.EXE
* SERVICES.EXE
* Файл со случайным именем
Через реестр отключает "Диспетчер задач":
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 01, 00, 00, 00
Через реестр отключает возможность выключения компьютера, в т.ч., из командной строки:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoClose = 1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer
NoLogOff = 1
Через реестр отключает возможность изменения меню "Пуск":
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoChangeStartMenu = 1
Через реестр обеспечивает автозапуск одного из троянов семейства Banker, установленного при запуске:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell = Explorer.exe %windir%\services.exe
Через реестр открывает общий доступ к директориям компьютера:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Start = 04, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 04, 00, 00, 00
Модифицирует ряд других настроек:
HKEY_CURRENT_USER\SessionInformation\ProgramCount = 6, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings = 3C, 00, 00, 00, 36, 00, 00, 00, 09, 00, 00, 00, 0B, 00, 00, 00, 62, 69, 6F, 70, 72, 6F, 78, 79, 3A, 38, 30, 07, 00, 00, 00, 3C, 6C, 6F, 63, 61, 6C, 3E, 00, 00, 00, 00, 05, 00, 00, 00, 00, 00, 00, 00, 80, BF, A5, 94, 89, 82, C8, 01, 01, 00, 00, 00, C0, A8, 8B, 80, 00, 00, 00, 00, 00, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings = 3C, 00, 00, 00, 56, 00, 00, 00, 09, 00, 00, 00, 0B, 00, 00, 00, 62, 69, 6F, 70, 72, 6F, 78, 79, 3A, 38, 30, 07, 00, 00, 00, 3C, 6C, 6F, 63, 61, 6C, 3E, 00, 00, 00, 00, 05, 00, 00, 00, 00, 00, 00, 00, 80, BF, A5, 94, 89, 82, C8, 01, 01, 00, 00, 00, C0, A8, 8B, 80, 00, 00, 00, 00, 00, 00, 00, 00
ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие:
Червь для платформы Windows. Распространяется копированием себя в директории общего доступа P2P-приложений eDonkey, KaZaA, а также чат-приложения mIRC. Копирует себя на все съёмные и сетевые диски.
Представляет собой файл, маскирующийся под новость о том, что сообщение о смерти Фиделя Кастро не соответствует действительности. При запуске червь загружает в браузере сайт, содержащий данную новость от 1997 года на испанском языке.
Устанавливает на компьютере трояны семейства Banker, предназначенные для кражи конфиденциальных банковских реквизитов.
Безопасность в интернете, то что должен знать каждый человек у которого есть компьютер! Информация будет полезна для администраторов, занимающихся обеспечением безопасности сетей, для программистов, стремящихся к созданию защищенных приложений, а также для всех тех, кто интересуется вопросами сетевой защиты.
0 коментарии:
Оставить коментарий