Кибербезопасность-обсуждение

Tuflya07 · 23.04.2010, 20:04

P2P-Worm.Win32. Agent.tc

22 апреля, 2010

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через файлообменные сети.
Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%systemdisk%:\Recycler\S-1-5-21-<rnd>\service.exe
Где %systemdisk% – буква диска, на котором установлена операционная система.

<rnd> – произвольная последовательность из цифр.

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "%systemdisk%:\Recycler\S-1-5-21-<rnd>\service.exe"

Вредоносная программа распостраняется по файлообменным сетям eMule, Kazaa, Shareaza, BearShare, iMesh, DC++, LimeWire, а также через мессенджер MSN. При этом программа копирует свой исполняемый файл в расшаренные папки данных программ под следующими именами:
Crack.exe
Keygen.exe
Также программа копирует себя на сменные носители и сетевые диски, создавая на них файл autorun.inf, в котором содержится ссылка на исполняемый файл вредоносной программы.
Деструктивная активность

Программа встраивает свой код в адресное пространство процесса explorer.exe, изнутри которого соединяется со следующими серверами:
mail3.nad123nad.com
mail3.lebanonbot.com
mail3.enterhere.biz
На данные сетевые адреса программа по протоколу UDP отправляет информацию о зараженном компьютере, такую как имя компьютера и имя пользователя, а также информацию о своем размножении.

Также с указанных адресов программа получает электронные адреса, с которых скачивает другое программное обеспечение, сохраняет его в файл C:\file.exe и запускает.

23.04.2010, 20:04	#11
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,560 Сказал(а) спасибо: 2,818 Поблагодарили 5,655 раз(а) в 4,453 сообщениях Вес репутации: 48	P2P-Worm.Win32. Agent.tc 22 апреля, 2010 Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через файлообменные сети. Инсталляция При запуске программа копирует свой исполняемый файл в корневой каталог Windows: %systemdisk%:\Recycler\S-1-5-21-<rnd>\service.exe Где %systemdisk% – буква диска, на котором установлена операционная система. <rnd> – произвольная последовательность из цифр. Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "<rnd>" = "%systemdisk%:\Recycler\S-1-5-21-<rnd>\service.exe" Вредоносная программа распостраняется по файлообменным сетям eMule, Kazaa, Shareaza, BearShare, iMesh, DC++, LimeWire, а также через мессенджер MSN. При этом программа копирует свой исполняемый файл в расшаренные папки данных программ под следующими именами: Crack.exe Keygen.exe Также программа копирует себя на сменные носители и сетевые диски, создавая на них файл autorun.inf, в котором содержится ссылка на исполняемый файл вредоносной программы. Деструктивная активность Программа встраивает свой код в адресное пространство процесса explorer.exe, изнутри которого соединяется со следующими серверами: mail3.nad123nad.com mail3.lebanonbot.com mail3.enterhere.biz На данные сетевые адреса программа по протоколу UDP отправляет информацию о зараженном компьютере, такую как имя компьютера и имя пользователя, а также информацию о своем размножении. Также с указанных адресов программа получает электронные адреса, с которых скачивает другое программное обеспечение, сохраняет его в файл C:\file.exe и запускает. __________________

Имя		Запомнить?
Пароль