B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy








Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Net-Worm.Win32.Allaple.a

Robak rozprzestrzenia si臋 za po艣rednictwem sieci lokalnych. Ma posta膰 pliku PE EXE o rozmiarze 57 856 bajt贸w.

Instalacja

Robak kopiuje sw贸j plik wykonywalny do foldera systemu Windows: 

%System%urdvxc.exe

Aby zapewni膰 automatyczne uruchamianie robaka wraz z restartem systemu, szkodnik rejestruje sw贸j plik wykonywalny w rejestrze systemowym:

[HKCRCLSID{31D89687-B459-9FEE-EC54-AA92A8105F56}LocalServer32]
@ = "%System%urdvxc.exe"
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
@ = "%System%urdvxc.exe"

Robak tworzy r贸wnie偶 us艂ug臋 o nazwie "MSWindows" oraz alias "Network Windows Service", kt贸ry uruchomi plik wykonywalny robaka: 

%System%urdvxc.exe /service

Rozprzestrzenianie

Robak uzyskuje list臋 dost臋pnych komputer贸w w otaczaj膮cej sieci i przeprowadza na nich ataki przepe艂nienia bufora wykorzystuj膮c luk臋 DCOM RPC. Je艣li luka ta zostanie skutecznie wykorzystana, robak wy艣le na zaatakowany komputer bardzo ma艂ego downloadera, kt贸ry z kolei pobierze i uruchomi g艂贸wny plik robaka.

Robak pr贸buje r贸wnie偶 po艂膮czy膰 si臋 z kontem administratora na po艂膮czonych w sie膰 komputerach poprzez wykorzystanie nast臋puj膮cych hase艂: 

www windows visitor test2 password test1 test temp telnet ruler remote real random 
qwerty public private poiuytre passwd pass oracle nopass nobody nick newpass new network 
monitor money manager mail login internet install hello guest go X demo default debug 
database crew computer coffee bin beta backup backdoor anonymous anon alpha adm access 
abc123 system sys super sql shit shadow setup security secure secret 123456789 12345678 
1234567 123456 12345 1234 123 12 1 00000000 0000000 000000 00000 0000 000 00 server 
asdfgh root

Je偶eli robakowi uda si臋 ustanowi膰 po艂膮czenie, skopiuje sw贸j plik wykonywalny do foldera systemu Windows (%System%) na zaatakowanym komputerze.

Funkcje szkodnika

Robak szuka plik贸w z rozszerzeniem .htm i pobiera z nich adresy e-mail. Pobrane adresy s膮 wysy艂ane na stron臋 zdalnego szkodliwego u偶ytkownika.

Robak potrafi r贸wnie偶 pobiera膰 pliki z Internetu i uruchamia膰 je w celu wykonania na zaatakowanym komputerze.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodnika.
  2. Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮ce parametry z rejestru systemowego:

    [HKCRCLSID{31D89687-B459-9FEE-EC54-AA92A8105F56}LocalServer32]
    @ = "%System%urdvxc.exe"
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
    @ = "%System%urdvxc.exe"

  4. Usu艅 nast臋puj膮cy plik: 
    %System%urdvxc.exe
  5. Usu艅 nast臋puj膮c膮 us艂ug臋: 
    Network Windows Service
  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Zdaniem eksperta | Forum | Kontakt
Copyright © 2012 WirusPC.pl