P2P-Worm.Win32. Agent.tc
22 апреля, 2010
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через файлообменные сети.
Инсталляция
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%systemdisk%:\Recycler\S-1-5-21-<rnd>\service.exe
Где %systemdisk% – буква диска, на котором установлена операционная система.
<rnd> – произвольная последовательность из цифр.
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "%systemdisk%:\Recycler\S-1-5-21-<rnd>\service.exe"
Вредоносная программа распостраняется по файлообменным сетям eMule, Kazaa, Shareaza, BearShare, iMesh, DC++, LimeWire, а также через мессенджер MSN. При этом программа копирует свой исполняемый файл в расшаренные папки данных программ под следующими именами:
Crack.exe
Keygen.exe
Также программа копирует себя на сменные носители и сетевые диски, создавая на них файл autorun.inf, в котором содержится ссылка на исполняемый файл вредоносной программы.
Деструктивная активность
Программа встраивает свой код в адресное пространство процесса explorer.exe, изнутри которого соединяется со следующими серверами:
mail3.nad123nad.com
mail3.lebanonbot.com
mail3.enterhere.biz
На данные сетевые адреса программа по протоколу UDP отправляет информацию о зараженном компьютере, такую как имя компьютера и имя пользователя, а также информацию о своем размножении.
Также с указанных адресов программа получает электронные адреса, с которых скачивает другое программное обеспечение, сохраняет его в файл C:\file.exe и запускает.
__________________
|