-
W32/Gaobot.CGI.worm
Попался вот такой P2P червяк с BackDoor функцией:
При запуске:
Создает и регистрирует сервис C:\WINDOWS\system32\SVKP.sys
Создает скрытый файл: C:\WINDOWS\system32\antivirus.exe
И прописывает его в автозагрузку:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\\antivirus32
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\antivirus32
Далее создается директория
C:\WINDOWS\SYSTEM32\kazaabackupfiles
а также ветки реестра
HKCU\Software\KAZAA
HKCU\Software\KAZAA\LocalContent
и директория записывается в ключ
HKCU\Software\KAZAA\LocalContent\\Dir0
Затем в папку C:\WINDOWS\SYSTEM32\kazaabackupfiles копируется тело червя с именами
Doom3 crack that works Great No cd and Cd keygen Doom 3.exe
Sims 2 crack that works Great No cd and Cd keygen Sims2.exe
RollerCoaster Tycoon 3 crack that works Great No cd and Cd keygen.exe
Railroad Tycoon 3 crack that works Great No cd and Cd keygen.exe
Half Life 2 crack that works Great HL2 No cd and Cd keygen HalfLife2.exe
Need For Speed Underground 2 crack that works Great No cd and keygen NFSU2 NFSU 2.exe
CounterStrike CD crack that works Great keygen does all versions Counter Strike.exe
Windows XP Activation crack and keygen does all versions great.exe
Nero Crack that works Great keygen Does All Versions.exe
Mcafee Crack that works Great Does All Versions.exe
Norton Crack that works Great Does All Versions.exe
Microsoft Office MSoffice Crack that works Great keygen Does All Versions.exe
Задаются следующие значения следующих ключей реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Personal
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5acce6b4-3735-11d9-b51f-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5acce6b5-3735-11d9-b51f-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5acce6b7-3735-11d9-b51f-806d6172696f}\\BaseClass
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Documents
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Desktop
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Desktop
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cache
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cookies
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\\C:\WINDOWS\SYSTEM32\antivirus.exe
Загружается созданный червем файл C:\WINDOWS\system32\antivirus.exe, после чего исходный файл с червем удаляется.
Процесс antivirus проверяет наличие файла C:\WINDOWS\system32\SVKP.sys и открывает 113 порт.
На момент написания поста данного червяка детектила только Panda (по данным Virus Total).
Page generated in 0.00654 seconds with 10 queries