P2P-Worm.Win32.SdDrop.c

Материал из Total Malware Info

Перейти к: навигация, поиск

P2P-Worm.Win32.SdDrop.c Червь, распространяющийся через файлообменные сети. Является приложением Windows (PE-EXE файл). Имеет размер 30 000 байт. Упакован при помощи AsPack, распакованный размер ~32 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\xms32.exe

Деструктивная активность

Создает папку: 

%Windir%\sCache32

и копирует в нее свой исполняемый файл со следующими именами: 

James Bond 007 Nightfire crack
Need for Speed 6 (new cars + crack)
Sim City 4 crack
Battlefied1942 Pack4 (crack+bloodpatch)
UT2003 multi-crack (new)
Unreal2 (2.8) crack
Raven Shield 5.32 crack
I.G.I. 2 (new crack)
Gothic 2 (m-patch)
Splinter Cell crack
Medal Of Honor (Allied Assault) crack
Operation Flashpoint (bloopatch)
Warcraft3 battle.net(2.5) crack
C&C Generals Pack2 (new patch)
Ps2 to Pc tutorial (+tool)
Adobe PhotoShop 7.1 crack
WinZip 8.3b (crack)
FlashFXP (keygen)
TitJiggle (flash game)
Patch Creator 3.5a
RemoteSpy 1.5
Auction Sentry (new)
iSnipeIt 5.0c
PhotoShow 3.1
AC3-MP3 converter
DivX edit (new)
MP3 cut pro 3.0
Half-Life keygen (+ogc hack)
Hacker Tutorial (by ph3Akz)
HL keys (working)
mIRC 6.x addon patch
mIRC s3th war-script
UniversalFlood (4.8b)
AudioLabel CD Labeler 3.0 (+crack)
Complete UK Music Database 4.2
All Editor 3.0b
Genie Stream 3.2.4
FreeRip 4.30
DvD Rip guide (+tools) st0rm
Wippit 2.1 (beta)
Kazaa Skins 1.8
2 Find MP3 8.2.0
NeoNapster 3.92
BearShare 5.1.1
Easy CD Creator Software Update
New Nvidia (geForce) drivers (beta)
Nvidia Detonator XP Drivers (Windows XP/2000)
ACDSee 5.5b
DirectDVD 4.9
ACDSee Classic 2.79
Find 1.0
Dynamite Downloads
 ICQ Lite beta (b2253)
WinZip 9.0 SR-1
AOL Instant Messenger 6.1
 ICQ Pro 2003a beta (b4600)
iMesh 4.1 beta
Ad-aware 6.5 (new)
Download Accelerator Plus 6.3
 Trillian 0.8 + plugins
Kazaa Media Desktop 2.5
WinRAR 3.8
Grokster 2.0
Morpheus 2.6
Nero Burning ROM 5.8.2.4
KaZooM MP3 Kazaa Accelerator 2.5
Window Washer 4.8
WS_FTP LE 6.0
Global DiVX Player 2.0.1
RealOne Free Player 2.8
MSN Messenger 5.5.10
DivX Video Bundle 5.5.1
Pop-Up Stopper 4.0 (beta)
QuickTime 7.2 (new)
Network Cable + ADSL Speed 2.0 (beta)
GetRight 5.5 + crack
WinMX 3.5.1
RealJukebox Basic 2.8
XViD bundle (codec+tutorial)
DivX Bundle 6.2
Microangelo 6.0b
Nimo Codec Pack 9.0 (stable)
Adobe Acrobat Reader 5.6

и расширением .exe. Изменяет значение следующих ключей реестра на: 

[HKCU\Software\iMesh\Client\LocalContent]
Dir<n>=”012345:%WinDir%\sCache32”

[HKCU\Software\Kazaa\LocalContent]
Dir<n>=”012345:%WinDir%\sCache32”

где n – [0;63]. Таким образом червь изменяет путь к папке с общими файлами пользователя в клиентах P2P сетей Kazaa и iMesh на папку содержащую свои копии.

Так же изменяет значения следующих параметров ключей реестра: 

[HKCU\Software\iMesh\Client\Transfer]
ConcurrentUploads=5
NoUploadLimitWhenIdle=1
DisableSharing=0

[HKCU\Software\Kazaa\Client\Transfer]
ConcurrentUploads=5
NoUploadLimitWhenIdle=1
DisableSharing=0

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить папку и все ее содержимое:
    4. %Windir%\sCache32
  4. Удалить файл:
    5. %System%\xms32.exe
Источник — «http://www.totalmalwareinfo.com/rus/P2P-Worm.Win32.SdDrop.c»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.