Xorer.O
Тип:
Червь
Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).
Операционная система:
Windows
Уровень:
низкий
Размер:
95.744 байта
Признаки
Производит следующие действия: проверяет наличие соединения с интернетом. В случае обнаружения, загружает с сайта
http://js.k[???]02.com два файла - DATA.GIF (обновление червя) и ANTITOOL.EXE, записывающий в систему библиотеку перехвата трафика WinPCap и файл ALG.EXE, перехватывающий и модифицирующий трафик.
Для маскировки использует руткит для сокрытия своих файлов, скрывает отображение системных файлов.
Завершает процессы, в имени которых содержатся следующие текстовые строки:
- #32770
- 360anti
- 360safe
- AfxControlBar42s
- antivir
- bitdefender
- cabinetwclass
- dr.web
- escan
- ewido
- facelesswndproc
- firewall
- ieframe
- mcagent
- metapad
- monitor
- mozillauiwindowclass
- SREng
- tapplication
- thunderrt6formdc
- thunderrt6main
- ThunderRT6Timer
Распространяется, создавая в корне всех дисков файлы PAGEFILE.PIF, 037589.LOG и AUTORUN.INF (файл, обеспечивающий автозапуск PAGEFILE.PIF при подключении к системе).
Создает следующие файлы:
- LSASS.EXE - в поддиректории Com системной директории Windows
- ~????.EXE - в директории Автозапуска (? - случайные символы)
Также создает файлы:
- NETAPI000.SYS - в корне диска C: - руткит для сокрытия файлов, принадлежащих червю
- NETCFG.000, NETCFG.DLL и SMSS.EXE - в поддиректории Com в системной директории Windows
- DNSQ.DLL - в системной директории Windows
Модифицирует следующие записи в реестре:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ SuperHidden \ Type = radio ox b o x WinRAR\WinRAR.exe" "%1" R A R \ W i n R A R . e x e " "????. e x e "
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ ShowSuperHidden = 00, 00, 00, 00
Удаляет из реестра следующие записи для отключения возможности загрузки системы в "Безопасном режиме" (Safe Mode):
- HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
- HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
Также удаляет из реестра все записи, принадлежащии ветви автозапуска (HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run).
ЗАЩИТА
- Отключить функцию "Восстановление системы" (для Windows ME и XP)
- Полностью проверить систему антивирусом с обновлённой базой сигнатур
- Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на съемные и сетевые диски. Перехватывает интернет-трафик в локальной сети и модифицирует запрашиваемые веб-страницы, добавляя к ним всплывающее окно с текстом на китайском языке.
источник: PandaSecurity.com