|
|
Опции темы | Опции просмотра | Language |
![]() |
#11 |
Гуру
![]() Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,560
Сказал(а) спасибо: 2,818
Поблагодарили 5,655 раз(а) в 4,453 сообщениях
Вес репутации: 48 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
![]()
P2P-Worm.Win32. Agent.tc
22 апреля, 2010 Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через файлообменные сети. Инсталляция При запуске программа копирует свой исполняемый файл в корневой каталог Windows: %systemdisk%:\Recycler\S-1-5-21-<rnd>\service.exe Где %systemdisk% – буква диска, на котором установлена операционная система. <rnd> – произвольная последовательность из цифр. Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "<rnd>" = "%systemdisk%:\Recycler\S-1-5-21-<rnd>\service.exe" Вредоносная программа распостраняется по файлообменным сетям eMule, Kazaa, Shareaza, BearShare, iMesh, DC++, LimeWire, а также через мессенджер MSN. При этом программа копирует свой исполняемый файл в расшаренные папки данных программ под следующими именами: Crack.exe Keygen.exe Также программа копирует себя на сменные носители и сетевые диски, создавая на них файл autorun.inf, в котором содержится ссылка на исполняемый файл вредоносной программы. Деструктивная активность Программа встраивает свой код в адресное пространство процесса explorer.exe, изнутри которого соединяется со следующими серверами: mail3.nad123nad.com mail3.lebanonbot.com mail3.enterhere.biz На данные сетевые адреса программа по протоколу UDP отправляет информацию о зараженном компьютере, такую как имя компьютера и имя пользователя, а также информацию о своем размножении. Также с указанных адресов программа получает электронные адреса, с которых скачивает другое программное обеспечение, сохраняет его в файл C:\file.exe и запускает.
__________________
![]() |
![]() |
![]() |