Shurik Soft
Главная
Вход
Регистрация
Пт, 29.03.2024, 16:35Приветствую Вас Гость | RSS
Меню сайта

Категории каталога
Программы [2]
Интернет и сети [1]
Компьютер... [1]
Техника и Интернет [1]
Мобильная связь [1]
Как правильно выбрать технику [4]

***

Главная » Статьи » Hi-Tech » Интернет и сети

Worm.Win32.Bymer.a

Worm.Bymer.a (aka "RC5 worm")

Этот червь инфицирует Windows 9x компьютеры, на которых установлена служба доступа к файлам. Он случайно перебирает IP-адреса локальной сети и пробует подключиться к разделяемому ресурсу с именем "C". Если это удается, то червь копирует на удаленный компьютер в каталог "\WINDOWS\SYSTEM\" следующие файлы:

WININIT.EXE 220672 байта (сам червь)
DNETC.EXE 186188 байт (RC5 клиент)
DNETC.INI (файл настроек для RC5 клиента)

Затем червь модифицирует файл WIN.INI на удаленной машине - он добавляет в него строку:

[winodws]
load=c:\windows\system\wininit.exe

Когда удаленная машина перезагрузиться, файл WININIT.EXE запустит файл клиента RC5 в скрытом режиме. В результате на компьютере жертвы оказывается постоянно незаметно работающий клиент программы подбора ключа RC5 (см. http://www.distributed.net), а работающий червь WININIT.EXE продолжает поиск и заражение других компьютеров в сети.


Worm.Bymer.b (aka "RC5 worm")

Этот червь инфицирует Windows 9x компьютеры, на которых установлена служба доступа к файлам. Он случайно перебирает IP-адреса локальной сети и пробует подключиться к разделяемому ресурсу с именем "C". Если это удается, то червь копирует на удаленный компьютер в каталоги "\WINDOWS\Start Menu\Programs\StartUp\" и "\WINDOWS\SYSTEM\" следующие файлы:

MSxxx.EXE ~22016 байт (размер и имя файла могут меняться)
MSCLIENT.EXE 4096 байт
INFO.DLL (текстовый лог-файл)
DNETC.EXE 186188 байт (RC5 клиент)
DNETC.INI (файл настроек для RC5 клиента)

Затем червь модифицирует файл WIN.INI на удаленной машине - он добавляет в него строку:

[windows]
load=c:\windows\system\msxxx.exe

Когда удаленная машина перезагрузиться, файл MSxxx.EXE создаст в ее реестре ключ:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
MSINIT=c:\windows\system\msxxx.exe (filename varies)

Таким образом, червь гарантированно запускается при каждом старте операционной системы. Кроме того, при собственном запуске он запускает файл DNETC.EXE с параметрами "-hide -install". Это приводит к тому, что на компьютере жертвы оказывается постоянно работающий в скрытом режиме клиент программы подбора ключа RC5 (см. http://www.ditributed.net), а работающий червь MSxxx.EXE продолжает поиск и заражение других компьютеров в сети.

Категория: Интернет и сети | Добавил: AlexSoft (08.09.2008)
Просмотров: 1149 | Рейтинг: 0.0/0 |
Всего комментариев: 0
Имя *:
Email *:
Код *:
Форма входа

Поиск

Друзья сайта


Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0


Copyright «Shurik Soft» © 2024