Компьютерные вирусы, вредоносные программы

Программа написана на Visual Basic и состоит из двух компонентов: самого червя и содержащейся в нем Backdoor.Win32.Rbot.gen.

Обычно бэкдор упакован UPX и Morphine.

Файл червя имеет размер 188416 байт, содержащийся в нем Rbot — 86528 байт в упакованном виде и 1,23 МБ в распакованном.
Инсталляция

Червь распространяется через сети файлообмена и через MSN Messenger.

После запуска, червь копирует себя в системную папку Windows под названием msnadp32.exe и в общие (shared) папки множества файлообменных сетей.

Бэкдор извлекается из файла червя и записывается в папку C:\tmpdata под названием ImSexy.exe, после чего файл запускается, извлекает из себя в системную папку Windows файл pwmgr.exe и самоудаляется.

Червь добавляет в системный реестр ключ, позволяющий ему автоматически запускаться при перезагрузке операционной системы:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSN Administration For Windows"="msnadp32.exe"
Аналогичную операцию совершает установленный червем бэкдор:

[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-1003\Software\Microsoft\OLE]
"WinPWD Manager"="pwmgr.exe"

[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"WinPWD Manager"="pwmgr.exe"

[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-1003\Software\Microsoft\Windows\CurrentVersion\RunServices]
"WinPWD Manager"="pwmgr.exe"

[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-1003\SYSTEM\CurrentControlSet\Control\Lsa]
"WinPWD Manager"="pwmgr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"WinPWD Manager"="pwmgr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPWD Manager"="pwmgr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WinPWD Manager"="pwmgr.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"WinPWD Manager"="pwmgr.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"WinPWD Manager"="pwmgr.exe"
Действие

Основным предназначением червя является доставка на компьютеры бэкдора Rbot.

Данная версия Rbot позволяет:

* закачивать и запускать файлы;
* вести мониторинг нажатий на клавиатуру;
* работать как FTP-сервер;
* работать как proxy-сервер;
* осуществлять сканирование портов;
* осуществлять DoS-атаки;
* делать снимки экрана и перехватывать видео с веб-камер;
* распространяться по команде по сети через уязвимости и подбор паролей;
* прочее.

Также бэкдор позволяет воровать ключи к некоторым популярным компьютерным играм.

В целях предотвращения доступа к некоторым посвященным информационной безопасности сайтам червь заменяет файл %sysdir%\drivers\etc\hosts.
Размножение

Червь рассылает контактам из контакт-листа MSNM сообщения со ссылкой на вредоносный файл. В ссылку включается email-адрес получателя сообщений, что позволяет собирать подобные адреса для последующей рассылки на них спама.

Сообщения:

[nickname] says:
lmao you dumbass!

[nickname] says:
http://freebuddyicons.[censored].php?user=[contact's emailadress]

Два сообщения посылаются с небольшой паузой, что повышает вероятность того, что получатель откроет присланную червем ссылку.

Также червь распространяется через файлообменные сети. Для этого он копирует себя в общие папки множества файлообменных сетей под следующими именами:

Adult ID Check.exe
Aim Flooder.exe
Aim Hacker.exe
AIMHacks.exe
Anarchist CookBook.exe
AVPDVDRip.mpg.exe
BF1942FULL.exe
BFVietnam.exe
BigBoobs.exe
BigBoobsXXX.exe
Britney XXX.exe
broadband wizard.exe
cable accelerator.exe
cable uncapper.exe
CallofDutyFULL.exe
CoolGames.exe
Cool_Games.exe
CounterStrike.exe
CounterStrikeSOURCE.exe
CounterStrikeSourceFULL.exe
Cracker Game.exe
Cracks Collections.Exe
Credit Card.exe
Delphi6 Keygen.exe
DOOM3_FULL.exe
DownLoad Accelerator Plus.exe
Dreamcast BootDisc.exe
Dropitlikeitzhot.exe
DVDRipper.exe
Easy CD Creator 5.exe
email hacker.exe
exeeenSaver.exe
F-ProtAV-Full.exe
FBISecretDocuments.exe
FTP Commander.exe
Ftp Cracker.exe
Ftp Hacker.exe
FuckedHARDXXX.exe
Gladiator (Movie) - Full Downloader.exe
GTAViceCity.exe
Hacker Kit.exe
Hacker.exe
HackingWebpage.exe
HackingWindowsXP.exe
HackingXP.exe
HalfLife2FULL+Crack.exe
HalfLife2FULL.exe
Halflife2KeyGen.exe
HalfLife2_FULL.exe
Hotmail Account Hacker.exe
Hotmail Hack.exe
Hotmail Hacker.exe
Hotmail Password Cracker.exe
HotmailHackerKit.exe
How-to-Hack.exe
HowtoHack.exe
Icq Ad Remover.exe
Icq Banner Remover.exe
ICQ Hack.exe
icq hacker.exe
icq ip patch.exe
Ident Faker.exe
Ident Spoofer.exe
IE6 Final.exe
InDaClub.exe
irc flooder.exe
IRobotDVDRip.mpg.exe
Jasc Paint Shop Pro 7 (Full).exe
JeniferLopezNUDE.exe
Johnny English (Movie) - Full Downloader.exe
Kazaa ad remover.exe
LanGuard NetScan.exe
Linux RootKit.exe
Matrix Reloaded.exe
McafeeAntiVirus.exe
MedalofHonorPacificAssultFULL.exe
Microsoft Office Full.exe
MiddleSchoolPornXXX.exe
Mirc6 Full.exe
mirc6 keygen.exe
Mp3 Maker Pro.exe
mp3 to wav full.exe
Msn Hacker.exe
MSN Messenger Password Stealer.exe
MS_Frontpage.exe
NeroBurningRom 6.exe
Norton AntiVirus Full.exe
Norton Keygen-All Vers.exe
NortonAntirVirus2005FULL.exe
NortonAntiVirus2005FULL.exe
NortonPersonalFirewallFULL.exe
NudeCheerleaders.exe
OfficeXP sp2 express.exe
PasswordCrackers.exe
PCChillen.exe
pE packer.exe
Peck.exe
PhotoShopCS8.0_Crack.exe
PipeBombTutorial.exe
PreTeenBlowJob.exe
PreTeenSEX.exe
PreTeenXXX.exe
PS1 BootDisc.exe
PS2 BootDisc.exe
PSXCopy Full.exe
Salford.exe
Serials 2k.exe
Serials Collections.exe
SexyChickXXXHarcore.exe
SexyTeen.exe
Simpsons.exe
SluttyCheerleaders.exe
SohposAntiVirusFULL.exe
Sopohs_Anti_Virus.exe
SpywareKiller.exe
SteelCap.exe
StylesXP.exe
Sub7 Master Password.exe
Sub7 Remover.exe
SwordFish (Movie) - Full Downloader.exe
SxyTeenagePorn.exe
SxyTeenageSEX.exe
SxyTeenFuckedHARD.exe
SxyTeenGetsItuptheASS.exe
TeenSexHardcore.exe
Trillian Patcher.exe
Trillian Pro Full.exe
Trojan Remover.exe
uin2ip.exe
VS.Net Patcher.exe
Wadle.exe
WallPapersXXX.exe
webpage hacker.exe
WebpageHackingTools.exe
WebRootSpySweeper.exe
Westdene.exe
Win Proxy.exe
Win Shares Cracker.exe
Win-RAR-FULL+CRACK.exe
Win-RAR-FULL.exe
Win98 Hacker.exe
WinXP Keygen.exe
WinXPHacking.exe
www hacker kit.exe
XPHackes.exe
xxx exeeensaver.exe
XXX Virtual Sex.exe
XXXCollection.exe
XXXHighSchoolSluts.exe
XXXMagaPack.exe
XXXTeenSexXXX.exe
XXXWallpaperCollection.exe
Yahoo Hacker.exe
Zip_RAR_PWCracker.exe
ZoneAlarm Pro Full.exe
ZoneAlarm.exe

Бэкдор Rbot может распространяться по сети по команде злоумышленника через уязвимости в ОС Windows или посредством подбора паролей.
Рекомендации по удалению

* Обновите базы данных Антивируса Касперского (если апдейтер не может подключиться к серверам обновлений, удалите файл hosts в папке %sysdir%\drivers\etc и попробуйте еще раз).
* Проведите полное сканирование дисков и удалите все обнаруженные антивирусом файлы, относящиеся к IM-Worm.Win32.Bropia.ad и Backdoor.Win32.Rbot.gen.
* Если это потребуется, перезагрузитесь.

Школа "Just English": изучение английского, изучение иностранного языка.; детально! Цены ниже: шпилька резьбовая + саморезы со скидками 15-20%! Тесты.; it аутсорсинг; Необходимо. Интернет магазин бытовой техники в ростове-на-дону. Только сейчас; Подробно. Интернет-магазин подарков для милиционеров! Производство