Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Worm.Win32.Apart - robak i backdoor w jednym

Jest to robak sieciowy wyposażony w procedurę backdoor. Wirus ma postać pliku PE EXE o rozmiarze około 43 KB lub 56 KB i został stworzony przy pomocy środowiska programistycznego Delphi.

Instalacja

Podczas instalacji robak kopiuje się do systemowego folderu Windows z nazwą "kernel32.dll*", ustawia dla tego pliku atrybut "ukryty" oraz tworzy klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kernel = %SystemDir%\KERNEL32.DLL*

Dodatkowo robak tworzy klucz HKCR\.dll*, który jest powiązany z typem plików EXE. W rezultacie pliki DLL będą uruchamiane tak, jak pliki EXE.

Na koniec szkodnik usuwa plik, z którego został uruchomiony, otwiera połączenie INet i oczekuje na polecenia.

Rozprzestrzenianie

Na żądanie zdalnego użytkownika (patrz opis procedury backdoor) robak rozpoczyna rozprzestrzenianie się w sieci lokalnej. Szkodnik otwiera dostępne, sieciowe napędy i kopiuje się na nie do folderu "\WINDOWS\Start Menu\Programs\StartUp\" z nazwą "Windows.exe".

Procedura backdoor

Procedura backdoor umożliwia zdalnemu użytkownikowi wykonywanie następujących operacji:

  • wysyłanie szczegółowych informacji o zainfekowanym komputerze,
  • pobieranie haseł, kont MSN oraz informacji programu .NET Messenger,
  • rozprzestrzenianie robaka w sieci lokalnej,
  • pobieranie plików ze stron WWW,
  • uruchamianie plików,
  • przeprowadzanie ataków DoS na zdalnych komputerach,
  • uruchamianie komendy ping,
  • skanowanie portów oraz adresów IP,
  • przekierowywanie portów komputera,
  • wysyłanie wiadomości przy użyciu programu AOL Instant Messenger oraz kanałów mIRC.

Informacje dodatkowe

W kodzie robaka zapisany jest następujący:

"Apartheid v.2.0"



 2002-09-03  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych