Worm.Win32.Fujack.a

Материал из Total Malware Info

Worm.Win32.Fujack.a Червь распространяющися на жестком диске компьютера и доступных для записи сетевым ресурсах. Является приложением Windows (PE-EXE файл). Размер компонентов варьируется в пределах от 26 до 129 кбайт. Может быть упакован следующими упаковщиками: Upack,FSG,UPX.

Инсталляция

Копирует свой исполняемый файл как:

%System%\drivers\spoclsv.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Svcshare=%System%\drivers\spoclsv.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Svcshare=%System%\drivers\spoclsv.exe

Деструктивная активность

Завершает и удаляет следующие службы антивирусных программ:

Schedule
Sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
Kavsvc
AVP
Kavsvc
McAfeeFramework
McShield
McTaskManager
Navapsvc
Wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

Удаляет следующие параметры в ключе реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
RavTask
KvMonXP
Kav
KAVPersonal50
McAfeeUpdaterU
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
Yassistse

Заражает файлы с расширением .exe, .scr, .pif, .com, которые являются приложениями Windows (PE-EXE файлы) на всех фиксированных дисках за исключением тех, что находятся в папках, имена которых содержат следующие строки:

WINDOWS
Winnt
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

Червь не заражает файлы больше 10 485 760 байт. При заражении червь записывает свой исполняемый файл в начало заражаемого файла, а оригинальное содержимое сдвигает и записывает после тела собственного исполняемого файла. Так же червь пытается заразить файлы находящиеся в сетевых папках. Что бы получить доступ к компьютеру червь пытается войти на компьютер под следующими пользователями:

Administrator
Guest
Admin
Root

последовательно перебирая пароли:

1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
Ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123

Так же червь копирует свой исполняемый файл в корневую папку всех съемных дисков с именем setup.exe и создает файл autorun.inf, содержащий ссылку на исполняемый файл червя. Таким образом при просмотре содержимого съемного диска программой «Проводник» исполняемый файл червя будет автоматически запущен.

Скачивает список файлов для закачки из интернет по следующей ссылке:

http://www*****.cn/88/yx/mm.txt

после чего скачивает файлы в папку %WinDir% и запускает их.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить процесс червя(возможное имя: spoclsv.exe).
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры в ключах реестра (как работать с реестром?):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Svcshare=%System%\drivers\spoclsv.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Svcshare=%System%\drivers\spoclsv.exe

4. Удалить файл:

%System%\drivers\spoclsv.exe

5. Удалить все копии червя на жестком диске
6. Удалить файлы

autorun.inf
setup.exe

из корневых папок съемных дисков