worm2
  • VBS/Satoban.A

  • 0
Автор
КатегорияЧервь
Дата обнаружения24.03.2014
Размер71693
Другие названия
Win32:Agent-AQTU (Avast)

Краткое описание

VBS/Satoban.В это червь, который распространяется через общие папки и съемные носители информации. Червь пытается загрузить и выполнить несколько файлов из Интернета.

Как устанавливается

При запуске червь создает следующие папки:

Червь копирует себя в следующие населенные пункты:

  • %systemdrive%\­Kernel\­r00t3er
  • %systemdrive%\­security\­blood.dat

%Systemdrive%\ядра, %systemdrive%\security папка может иметь система (Ы) и скрытый (H) набор атрибутов в попытке скрыть папку в Windows Explorer.

%Systemdrive%\Kernel\r00t3er файл(ы) может иметь система (Ы) и скрытый (H) атрибуты, присутствующие в попытке скрыть файл в Windows Explorer.

Червь создает следующие файлы:

Червь может создавать копии следующих файлов (source, destination):

  • %systemroot%\­system32\­wscript.exe, %systemdrive%\­security\­svchost.exe

Червь выполняет следующие команды:

  • sc create system binPath= "%systemroot%\­System32\­system\­svchost.exe msg" start= auto &
  • net start system &
  • sc description system " processus générique de Windows .Si ce service est arrêté,les services qui en dépendent ne pourront pas démarrer et votre systeme risque d'etre endommagé. " &
  • EXIT

Для автоматического запуска с системой, червь создает следующие записи в реестре:

  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Policies\­Explorer\­Run]
    • "rescue" = "%allusersprofile%\­rescue.vbe"
  • "rescue" = "%allusersprofile%\­rescue.vbe"

Создаются следующие записи в реестре:

Червь может удалить файлы хранятся в следующих папках:

  • %systemdrive%\­­Kernel
  • %systemdrive%\­­security

Распространение

Червь ищет доступные локальные и съемные диски. Червь может удалить следующие файлы:

  • %drive%\­­*.vbe
  • %drive%\­­*.lnk
  • %drive%\­­config.dat
  • %drive%\­­autorun.inf
  • %drive%\­­microsoft.dat

Червь ищет следующие папки:

  • %drive%\­­*.*

Червь создает следующий файл:

  • %drive%\­­%variable%.lnk

Имя нового файла на основе имени папки, нашел в поиске.

Файл-это ярлык на вредоносный файл.

Червь копирует себя в следующие местоположения:

  • %drive%\­­config.dat

%Диск%\config.dat-файл(ы) может иметь система (Ы) и скрытый (H) атрибуты, присутствующие в попытке скрыть файл в Windows Explorer.

Дополнительная информация

Червь может задать следующие записи реестра:

  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Policies\­System]
    • "ConsentPromptBehaviorAdmin" = 0
    • "EnableLua" = 0
  • [HKEY_CURRENT_USER\­VBEFile\­DefaultIcon]
    • "" = "%systemroot%\­system32\­shell32.dll,1"
  • "ConsentPromptBehaviorAdmin" = 0
  • "EnableLua" = 0
  • "" = "%systemroot%\­system32\­shell32.dll,1"

Червь может удалить следующие записи реестра:

  • [HKEY_CLASSES_ROOT\­lnkfile]
    • "IsShortCut"
  • "IsShortCut"

Червь создает следующие файлы:

  • %temp%\­uac.bat (1904 B, VBS/Agent.NCF)
  • %temp%\­ADMIN.vbe (292 B, VBS/AutoRun.HX)
  • %temp%\­CPBA.bat (390 B, VBS/Satoban.A)
  • %temp%\­tp.vbe (175 B, VBS/AutoRun.HX)
  • %temp%\­tmp.bat (1108 B, VBS/Agent.NCF)

Червь, возможно, попытка загрузки файлов из Интернета. Червь содержит список из 7 адресов. Используется HTTP протокол.

Они сохраняются в следующие папки:

  • %systemdrive%\­security\­system.txt
  • %temp%\­booter.dat
  • %systemdrive%\­kernel\­explorer.jpg
  • %systemdrive%\­kernel\­update.txt

Червь движется следующие файлы (source, destination):

Червь создает свои копии следующих файлов (source, destination):

  • %systemdrive%\­kernel\­*.vbe, %temp%
  • %scriptpath%, %temp%

Удаляются следующие файлы:

  • %systemdrive%\­*.lnk
  • %systemdrive%\­autorun.inf
  • %temp%\­%scriptfile%

Червь может выполнить следующие команды:

Червь удаляет точки восстановления системы.

Он содержит следующие строки:

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *