Червь W32.Korron.A
ОписаниеПризнаки
При запуске создает следующие файлы:
* %UserProfile%\Local Settings\Application Data\WINDOWS\Puisiku.txt
* %UserProfile%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
* %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
* C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif
* %System%\IExplorer.exe
* %System%\MrHello.scr
* %System%\shell.exe
* %Windir%\msvbvm60.dll
* %Windir%\r0nk0r.exe
* %Windir%\r0nk0r.vbs.jpg
* %Windir%\Setup.exe
* %SystemDrive%\Puisiku.txt
* %SystemDrive%\r0nk0r\Folder.htt
* %SystemDrive%\r0nk0r\Poto wow.exe
* %SystemDrive%\r0nk0r.exe
Копирует себя на все локальные, съемные и сетевые диски, которым присвоена буква: создает в корне файлы "Data Administrator.exe" и "desktop.ini".
Обеспечивает себе автозагрузку при старте Windows и при открытии ряда файлов. Для этого делает в реестре следующие записи:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"LoggonAdministrator" = "%SystemDrive%\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Sysmontrng" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\SERVICE.EXE"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"r0nk0r" = "C:\WINDOWS\r0nk0r.exe"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"MSMSGS" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"ServiceAdministrator" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\docfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xlsfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "C:\WINDOWS\system32\userinit.exe,"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\IExplorer.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe "C:\WINDOWS\system32\IExplorer.exe""
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(defa ult)" = "File Folder"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
Создает в реестре следующие записи:
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"LimitSystemRestoreCheckpointing" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"DisableMSI" = "1"
* HKEY_CURRENT_USER\Control Panel\Desktop\"SCRNSAVE.EXE" = "C:\WINDOWS\system32\MRHELL~1.SCR"
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableConfig" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableSR" = "1"
Модифицирует следующие записи реестра (указаны новые значения ключей):
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\"Auto" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\"Debugger" = ""C:\WINDOWS\system32\Shell.exe""
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\"AlternateShell" = "C:\WINDOWS\r0nk0r.exe"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\"AlternateShell" = "C:\WINDOWS\r0nk0r.exe"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoFolderOptions" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableCMD" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"NoFolderOptions" = "1"
Завершает процессы, содержащие в названии следующие строки:
* AN'SAV
* ANSAV
* ANTI
* ASM
* AVS
* BUG
* DBG
* DETEC
* HEX
* NOD32
* OPTIONS
* PCMAV
* PROC
* REG
* S M A D A V
* SCAN
* SCANNER
* SECURITY
* SMADAV
* TASK
* VIRUS
* W32
* WALK
Может попытаться открыть на захваченном компьютере созданный им текстовый файл:
* %UserProfile%\Local Settings\Application Data\WINDOWS\Puisiku.txt
Файл содержит следующий текст:
Maaf
================================================
Maaf
Apa yang kulakukan tak dapat kumaafkan
Benar[УДАЛЕНО]r.a
ЗАЩИТА
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на все диски, включая съемные. Снижает уровень защищенности системы.
источник: Symantec.com