PDA

Просмотр полной версии : W32/Gaobot.CGI.worm



Minos
02.02.2005, 23:57
Попался вот такой P2P червяк с BackDoor функцией:
При запуске:
Создает и регистрирует сервис C:\WINDOWS\system32\SVKP.sys
Создает скрытый файл: C:\WINDOWS\system32\antivirus.exe
И прописывает его в автозагрузку:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\\antivirus32
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \\antivirus32

Далее создается директория
C:\WINDOWS\SYSTEM32\kazaabackupfiles

а также ветки реестра
HKCU\Software\KAZAA
HKCU\Software\KAZAA\LocalContent

и директория записывается в ключ
HKCU\Software\KAZAA\LocalContent\\Dir0

Затем в папку C:\WINDOWS\SYSTEM32\kazaabackupfiles копируется тело червя с именами
Doom3 crack that works Great No cd and Cd keygen Doom 3.exe
Sims 2 crack that works Great No cd and Cd keygen Sims2.exe
RollerCoaster Tycoon 3 crack that works Great No cd and Cd keygen.exe
Railroad Tycoon 3 crack that works Great No cd and Cd keygen.exe
Half Life 2 crack that works Great HL2 No cd and Cd keygen HalfLife2.exe
Need For Speed Underground 2 crack that works Great No cd and keygen NFSU2 NFSU 2.exe
CounterStrike CD crack that works Great keygen does all versions Counter Strike.exe
Windows XP Activation crack and keygen does all versions great.exe
Nero Crack that works Great keygen Does All Versions.exe
Mcafee Crack that works Great Does All Versions.exe
Norton Crack that works Great Does All Versions.exe
Microsoft Office MSoffice Crack that works Great keygen Does All Versions.exe

Задаются следующие значения следующих ключей реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Shell Folders\\Personal
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{5acce6b4-3735-11d9-b51f-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{5acce6b5-3735-11d9-b51f-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{5acce6b7-3735-11d9-b51f-806d6172696f}\\BaseClass
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Shell Folders\\Common Documents
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Shell Folders\\Desktop
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Shell Folders\\Common Desktop
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\\ProxyBypass
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\\IntranetName
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\\UNCAsIntranet
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Shell Folders\\Cache
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Shell Folders\\Cookies
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICac he\\C:\WINDOWS\SYSTEM32\antivirus.exe

Загружается созданный червем файл C:\WINDOWS\system32\antivirus.exe, после чего исходный файл с червем удаляется.
Процесс antivirus проверяет наличие файла C:\WINDOWS\system32\SVKP.sys и открывает 113 порт.

На момент написания поста данного червяка детектила только Panda (по данным Virus Total).