Xorer.O Тип:
Червь Червь
AdwareЧерви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).
Операционная система:
Windows
Уровень:
низкий
Размер:
95.744 байта
Признаки
Производит следующие действия: проверяет наличие соединения с интернетом. В случае обнаружения, загружает с сайта http://js.k[???]02.com два файла - DATA.GIF (обновление червя) и ANTITOOL.EXE, записывающий в систему библиотеку перехвата трафика WinPCap и файл ALG.EXE, перехватывающий и модифицирующий трафик.
Для маскировки использует руткит для сокрытия своих файлов, скрывает отображение системных файлов.
Завершает процессы, в имени которых содержатся следующие текстовые строки:
* #32770
* 360anti
* 360safe
* AfxControlBar42s
* antivir
* bitdefender
* cabinetwclass
* dr.web
* escan
* ewido
* facelesswndproc
* firewall
* ieframe
* mcagent
* metapad
* monitor
* mozillauiwindowclass
* SREng
* tapplication
* thunderrt6formdc
* thunderrt6main
* ThunderRT6Timer
Распространяется, создавая в корне всех дисков файлы PAGEFILE.PIF, 037589.LOG и AUTORUN.INF (файл, обеспечивающий автозапуск PAGEFILE.PIF при подключении к системе).
Создает следующие файлы:
* LSASS.EXE - в поддиректории Com системной директории Windows
* ~????.EXE - в директории Автозапуска (? - случайные символы)
Также создает файлы:
* NETAPI000.SYS - в корне диска C: - руткит для сокрытия файлов, принадлежащих червю
* NETCFG.000, NETCFG.DLL и SMSS.EXE - в поддиректории Com в системной директории Windows
* DNSQ.DLL - в системной директории Windows
Модифицирует следующие записи в реестре:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ SuperHidden \ Type = radio ox b o x WinRAR\WinRAR.exe" "%1" R A R \ W i n R A R . e x e " "????. e x e "
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ ShowSuperHidden = 00, 00, 00, 00
Удаляет из реестра следующие записи для отключения возможности загрузки системы в "Безопасном режиме" (Safe Mode):
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
Также удаляет из реестра все записи, принадлежащии ветви автозапуска (HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run).
ЗАЩИТА
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на съемные и сетевые диски. Перехватывает интернет-трафик в локальной сети и модифицирует запрашиваемые веб-страницы, добавляя к ним всплывающее окно с текстом на китайском языке.
