Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Worm.Win32.Dabber.a - wykorzystuje błędy Sassera

Jest to robak rozprzestrzeniający się przez internet za pośrednictwem luki w składniku FTP robaka Worm.Win32.Sasser. Ma postać pliku PE EXE o rozmiarze 29 696 bajtów (kompresja UPX).

Instalacja

Po uruchomieniu robak kopiuje się z nazwą package.exe do folderu systemowego Windows oraz do następujących lokalizacji:

c:\Documents and Settings\All Users\Start Menu\Programs\Startup\
%Folder Windows%\All Users\Main menu\Programs\StartUp

Następnie robak tworzy klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"sassfix"="%System%\package.exe"

W końcowej fazie instalacji szkodnik usuwa klucze utworzone w rejestrze systemowym przez robaka Sasser:

  • avserve2.exe
  • avvserrve32
  • avserve
  • skynetave.exe

Dodatkowo szkodnik usuwa także klucze tworzone przez inne wirusy:

  • Video
  • Microsoft Update
  • Drvddll.exe
  • Drvddll_exe
  • drvsys
  • drvsys.exe
  • ssgrate
  • ssgrate.exe
  • lsasss
  • lsasss.exe
  • Taskmon
  • Gremlin
  • Window
  • Video Process
  • TempCom
  • SkynetRevenge
  • MapiDrv
  • BagleAV
  • System Updater Service
  • soundcontrl
  • WinMsrv32
  • drvddll.exe
  • navapsrc.exe
  • Generic Host Service
  • Windows Drive Compatibility
  • windows

Funkcje dodatkowe

Robak skanuje sieć w poszukiwaniu komputerów, w których na porcie 5554 zainstalowany jest składnik FTP instalowany przez robaka Sasser. Po znalezieniu "dziurawego" komputera robak infekuje go.

Dodatkowo szkodnik instaluje na porcie 9898 backdoora, który pozwala na wykonywanie zdalnych poleceń.



 2004-06-09  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych