HotKey
20.02.2007, 19:37
20 февраля, 2007
Сетевой червь. Распространяется через доступные сетевые ресурсы. Является приложением Windows (PE EXE-файл). Имеет размер 67174 байта.
Инсталляция
После запуска программа копирует себя в корневой каталог Windows:
%WinDir%\Logo1_.exe
%WinDir%\uninstall\rundl132.exe
Для автоматической загрузки при каждом последующем старте системы червь добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run]
"load" = "%WinDir%\uninstall\rundl132.exe"
Также в корневом каталоге Windows создаётся файл размером 31116 байт, имеющий имя «RichDll.dll»:
%WinDir%\RichDll.dll
Червь генерирует ключ реестра, в котором хранит свои настройки:
[HKLM\SOFTWARE\Soft\DownloadWWW]
Распространение через локальную сеть
Вирус копирует свое тело во все папки, содержащие файлы с расширением .exe — на все разделы жесткого диска, начиная с последнего, а также на доступные для записи сетевые папки.
Деструктивная активность
Червь ищет в системе и завершает процессы со следующими именами:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe
KVMONXP.KXP
KRegEx.exe
KVXP.KXP
Производится остановка службы «Kingsoft AntiVirus Service».
Вредоносная программа разыскивает в системе процесс avp.exe. Если находит, выполняет следующие действия:
* устанавливает уровень громкости звука на минимум, чтобы не было слышно звуковых предупреждений антивирусной программы;
* ищет в системе окно с именем класса «AVP.AlertDialog» и имитирует в нем нажатие на кнопку «Разрешить».
Червь следит за активностью пользователя в окнах следующих приложений:
lineage.exe
Mir.exe
Archlord.exe
LineageII.exe
Ragnarok.exe
GameClient.exe
Параметры учетных записей для подключения к серверам данных игр похищаются.
Собранную информацию червь отправляет на электронную почту злоумышленника.
Также вирус скачивает из сети Интернет программы по ссылкам:
http://*****ifafksajof.43242.com/gua/gua1.exe
http://*****ifafksajof.43242.com/gua/gua2.exe
http://*****ifafksajof.43242.com/gua/gua3.exe
http://*****ifafksajof.43242.com/gua/gua4.exe
http://*****ifafksajof.43242.com/gua/gua5.exe
http://*****ifafksajof.43242.com/gua/gua6.exe
http://*****ifafksajof.43242.com/gua/gua7.exe
http://*****ifafksajof.43242.com/gua/gua8.exe
После успешной загрузки файлы запускаются на исполнение.
(На момент создания описания данные ссылки не работали.)
Сетевой червь. Распространяется через доступные сетевые ресурсы. Является приложением Windows (PE EXE-файл). Имеет размер 67174 байта.
Инсталляция
После запуска программа копирует себя в корневой каталог Windows:
%WinDir%\Logo1_.exe
%WinDir%\uninstall\rundl132.exe
Для автоматической загрузки при каждом последующем старте системы червь добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run]
"load" = "%WinDir%\uninstall\rundl132.exe"
Также в корневом каталоге Windows создаётся файл размером 31116 байт, имеющий имя «RichDll.dll»:
%WinDir%\RichDll.dll
Червь генерирует ключ реестра, в котором хранит свои настройки:
[HKLM\SOFTWARE\Soft\DownloadWWW]
Распространение через локальную сеть
Вирус копирует свое тело во все папки, содержащие файлы с расширением .exe — на все разделы жесткого диска, начиная с последнего, а также на доступные для записи сетевые папки.
Деструктивная активность
Червь ищет в системе и завершает процессы со следующими именами:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe
KVMONXP.KXP
KRegEx.exe
KVXP.KXP
Производится остановка службы «Kingsoft AntiVirus Service».
Вредоносная программа разыскивает в системе процесс avp.exe. Если находит, выполняет следующие действия:
* устанавливает уровень громкости звука на минимум, чтобы не было слышно звуковых предупреждений антивирусной программы;
* ищет в системе окно с именем класса «AVP.AlertDialog» и имитирует в нем нажатие на кнопку «Разрешить».
Червь следит за активностью пользователя в окнах следующих приложений:
lineage.exe
Mir.exe
Archlord.exe
LineageII.exe
Ragnarok.exe
GameClient.exe
Параметры учетных записей для подключения к серверам данных игр похищаются.
Собранную информацию червь отправляет на электронную почту злоумышленника.
Также вирус скачивает из сети Интернет программы по ссылкам:
http://*****ifafksajof.43242.com/gua/gua1.exe
http://*****ifafksajof.43242.com/gua/gua2.exe
http://*****ifafksajof.43242.com/gua/gua3.exe
http://*****ifafksajof.43242.com/gua/gua4.exe
http://*****ifafksajof.43242.com/gua/gua5.exe
http://*****ifafksajof.43242.com/gua/gua6.exe
http://*****ifafksajof.43242.com/gua/gua7.exe
http://*****ifafksajof.43242.com/gua/gua8.exe
После успешной загрузки файлы запускаются на исполнение.
(На момент создания описания данные ссылки не работали.)