Net-Worm.Win32.Allaple.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Net-Worm.Win32.Allaple.a Червь распространяющий себя по локальной сети. Является приложением Windows (PE-EXE файл). Имеет размер 57 856 байт. Упакован неизвестным упаковщиком, распакованный размер ~126 кб.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%System%\urdvxc.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKCR\CLSID\{31D89687-B459-9FEE-EC54-AA92A8105F56}\LocalServer32]
@=”%System%\urdvxc.exe”

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
@=%System%\urdvxc.exe

Так же червь создает службу с именем “MSWindows”, псевдонимом “Network Windows Service”, которая запускает исполняемый файл червя: 

%System%\urdvxc.exe /service

Распространение по локальной сети

Червь получает список доступных компьютеров в сетевом окружении и производит атаки переполнения буфера с использованием уязвимости DCOM RPC. При успешном использовании уязвимости червь посылает на удаленный компьютер микро-загрузчик, который закачивает и запускает основной файл червя.

Так же червь пытается подключиться к компьютерам в сетевом окружении к системной записи администратора используя следующие пароли: 

www
windows
visitor
test2
password
test1
test
temp
telnet
ruler
remote
real
random
qwerty
public
private
poiuytre
passwd
pass
oracle
nopass
nobody
nick
newpass
new
network
monitor
money
manager
mail
login
internet
install
hello
guest
go
X
demo
default
debug
database
crew
computer
coffee
bin
beta
backup
backdoor
anonymous
anon
alpha
adm
access
abc123
system
sys
super
sql
shit
shadow
setup
security
secure
secret
123456789
12345678
1234567
123456
12345
1234
123
12
1
00000000
0000000
000000
00000
0000
000
00
server
asdfgh
root

в случае успешного подключения червь копирует свой исполняемый файл в папку %System% на удаленном компьютере.

Деструктивная активность

Червь производит поиск файлов с расширением .htm на компьютере пользователя и извлекает из них адреса электронной почты. Найденные адреса электронной почты посылаются на сайт злоумышленников в HTTP запросе.

Так же червь имеет функцию загрузки файлов из интернет на компьютер пользователя и их последующий запуск.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKCR\CLSID\{31D89687-B459-9FEE-EC54-AA92A8105F56}\LocalServer32]
@=”%System%\urdvxc.exe”

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
@=%System%\urdvxc.exe
  4. Удалить файл:
    5. @=”%System%\urdvxc.exe”
  5. Удалить службу с именем:
    6. Network Windows Service
Источник — «http://www.totalmalwareinfo.com/rus/Net-Worm.Win32.Allaple.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.