P2P-Worm.Win32.SpyBot.k

Материал из Total Malware Info

Перейти к: навигация, поиск

P2P-Worm.Win32.SpyBot.k Червь распространяющий себя через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 17 898 байт. Упакован с помощью UPX, распакованный размер ~81 кб.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%System%\wuaumqr.exe
%System%\kazaabackupfiles\zoneallarm_pro_crack.exe
%System%\kazaabackupfiles\AVP_Crack.exe
%System%\kazaabackupfiles\porn.exe
%System%\kazaabackupfiles\Matrix_Reloaded.scr

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“Winsock driver”=”wuaumqr.exe”

Изменяет значение ключа реестра:

[HKCU\Software\KAZAA\LocalContent]
Dir0=”012345:%System%\kazaabackupfiles\”

Деструктивная активность

Завершает следующие процессы: 

REGEDIT.EXE
MSCONFIG.EXE
TASKMGR.EXE
NETSTAT.EXE

Червь содержит втроенного IRC-бота с помощью которого злоумышленник может удаленно получить полный доступ к компьютеру жертвы. Бот устанавливает соединение с адресом krkr.mine.nu и переходит в режим ожидания команд от злоумышленников. Злоумышленник посылая команды боту может выполнять следующие действия на компьютере жертвы: - Получать полный доступ к жесткому диску компьютера(просматривать содержимое папок, создавать/удалять папки и файлы/запускать приложения) - Выдвигать/задвигать лоток CD-ROM - Завершать процессы - Запускать HTTP-proxy сервер на указанном порте - Просматривать все сохраненные в системе пароли(с помощью недокументированной функции WNetEnumCachedPasswords) - Просматривать информацию о системе: версию ОС, частоту ЦП, количество ОЗУ, текущую дату и время, имя текущего пользователя, внейшний IP-адрес компьютера. - Производить SYN Flood атаки на указанный адрес - Производить сканирование открытых портов компьютеров в локальной сети жертвы. - Следить за вводом пользователя с клавиатуры, собранная информация сохраняется в файл отчета 

%System%\keylog.txt

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“Winsock driver”=”wuaumqr.exe”
  4. Изменить значение параметра ключа реестра на исходное (как работать с реестром?):
    5. [HKCU\Software\KAZAA\LocalContent]
Dir0=
  5. Удалить файлы:
    6. %System%\wuaumqr.exe
%System%\kazaabackupfiles\zoneallarm_pro_crack.exe
%System%\kazaabackupfiles\AVP_Crack.exe
%System%\kazaabackupfiles\porn.exe
%System%\kazaabackupfiles\Matrix_Reloaded.scr
%System%\keylog.txt
Источник — «http://www.totalmalwareinfo.com/rus/P2P-Worm.Win32.SpyBot.k»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.