Worm.Bymer.a (aka "RC5 worm")
Этот червь инфицирует Windows 9x компьютеры, на которых установлена служба доступа к файлам. Он случайно перебирает IP-адреса локальной сети и пробует подключиться к разделяемому ресурсу с именем "C". Если это удается, то червь копирует на удаленный компьютер в каталог "\WINDOWS\SYSTEM\" следующие файлы:
WININIT.EXE 220672 байта (сам червь) DNETC.EXE 186188 байт (RC5 клиент) DNETC.INI (файл настроек для RC5 клиента)
Затем червь модифицирует файл WIN.INI на удаленной машине - он добавляет в него строку:
[winodws] load=c:\windows\system\wininit.exe
Когда удаленная машина перезагрузиться, файл WININIT.EXE запустит файл клиента RC5 в скрытом режиме. В результате на компьютере жертвы оказывается постоянно незаметно работающий клиент программы подбора ключа RC5 (см. http://www.distributed.net), а работающий червь WININIT.EXE продолжает поиск и заражение других компьютеров в сети.
Worm.Bymer.b (aka "RC5 worm")
Этот червь инфицирует Windows 9x компьютеры, на которых установлена служба доступа к файлам. Он случайно перебирает IP-адреса локальной сети и пробует подключиться к разделяемому ресурсу с именем "C". Если это удается, то червь копирует на удаленный компьютер в каталоги "\WINDOWS\Start Menu\Programs\StartUp\" и "\WINDOWS\SYSTEM\" следующие файлы:
MSxxx.EXE ~22016 байт (размер и имя файла могут меняться) MSCLIENT.EXE 4096 байт INFO.DLL (текстовый лог-файл) DNETC.EXE 186188 байт (RC5 клиент) DNETC.INI (файл настроек для RC5 клиента)
Затем червь модифицирует файл WIN.INI на удаленной машине - он добавляет в него строку:
[windows] load=c:\windows\system\msxxx.exe
Когда удаленная машина перезагрузиться, файл MSxxx.EXE создаст в ее реестре ключ:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] MSINIT=c:\windows\system\msxxx.exe (filename varies)
Таким образом, червь гарантированно запускается при каждом старте операционной системы. Кроме того, при собственном запуске он запускает файл DNETC.EXE с параметрами "-hide -install". Это приводит к тому, что на компьютере жертвы оказывается постоянно работающий в скрытом режиме клиент программы подбора ключа RC5 (см. http://www.ditributed.net), а работающий червь MSxxx.EXE продолжает поиск и заражение других компьютеров в сети.
|