Tixcet.A

Новости

Тип:

Червь Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).

Операционная система:

Windows

Уровень:

низкий

Размер:

46.080 байт

Признаки

При доступе к поддиректориям создает в директории файл с тем же именем, норасширением EXE (например, если в директории C:\Dir есть поддиректория Dir2,то червь создаст файл C:\Dir\Dir2.exe). Далее, червь заменяет некоторые файлы в этойподдиректории на свои копии.

Замене подвергаются следующие файлы:

  • Office - .DOC, .XLS, .PPT, .MDB, .PDF и .XML.
  • Мультимедийные - .MP3, .3GP, .DAT, .MOV и .WAV.
  • Архивы - .ZIP и .RAR.
  • Изображения - .JPG, .BMP и .GIF.
  • Исполняемые - .BAT, .COM and .SCR.

Кроме того, при запуске червь перезагружает компьютер и добавляет в системную панель”system tray” к часам слово “| CETiX”.

В системе червь запрещает копирование файлов, отключая функцию “Вставить” (”Paste”) икопируя по месту назначения текстовый файл с текстом:

Hello ! My Name is CETiX, nice to meet you…

Отключает “Диспетчер задач”, “Редактор реестра” и командную оболочку (cmd.exe).

Завершает процессы, чьи окна содержат в названии подстроки:

  • ANVIECLAZZ
  • BITDEF
  • CabinetWClass
  • DETEC
  • ExploreWClass
  • GRISOFT
  • HIJACK
  • KASPER
  • NORMAN
  • NORTON
  • PROCEXPL
  • SETUP
  • SYSINTER
  • WINDOWS

При обнаружении антивирусных программ и мониторов системы, а также при входепользователя в “Проводник”, заменяет название окна на следущее:

CETiX: Don’t Kill Me Please…! My name is CETiX, Nice to meet you…

При запуске создает следующие файлы:

  • FILES.EXE, UNTITLED.EXE, ADMINISTRADOR.EXE, CETIX.EXE и XZ.EXE в C:\
  • CETIX.EXE и RACUN.EXE в директории Windows (далее %windir%)
  • POISON.EXE и TOXIC.EXE в системной директории Windows (далее %sysdir%)
  • VSERVE.EXE в директории Автозапуска

В корне диска C: червь создает файл AUTORUN.INF.

Обеспечивает себе автозапуск при загрузке Windows, создавая/модифицируя в реестре записи:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ Poison = %sysdir%\poison.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ Cetix = %windir%\cetix.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ Shell = explorer.exe %sysdir%\poison.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ Userinit = %sysdir%\userinit.exe,%sysdir%\poison.exe

Также обеспечивает себе автозапуск в “Безопасном режиме”:

  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot \ AlternateShell = %windir%\cetix.exe
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet002\ Control\ SafeBoot \ AlternateShell = %windir%\cetix.exe
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot \ AlternateShell = %windir%\cetix.exe

Через реестр заменяет имя владельца системы:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion \ RegisteredOrganization = CETiX BALi
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion \ RegisteredOwner = XZ

Добавление слова “CETiX” в часы (через реестр):

  • HKEY_CURRENT_USER\ Control Panel\ International \ s1159 = AM | CETiX
  • HKEY_CURRENT_USER\ Control Panel\ International \ s2359 = PM | CETiX

Через реестр обеспечивает себе запуск файлов с рядом расширений:

  • HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command \ (Default) = %sysdir%\toxic.exe “%1″%*
  • HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command \ (Default) = %sysdir%\toxic.exe “%1″%*
  • HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command \ (Default) = %sysdir%\toxic.exe “%1″%*
  • HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command \ (Default) = %sysdir%\toxic.exe “%1″%*
  • HKEY_CLASSES_ROOT\ lnkfile\ shell\ open\ command \ (Default) = %sysdir%\toxic.exe “%1″%*

Через реестр отключает отображение в “Проводнике” скрытых и системных файлов, расширений файлов:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ SuperHidden = 00, 00, 00, 00
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ HideFileExt = 01, 00, 00, 00
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ ShowSuperHidden = 00, 00, 00, 00

Написан на языке Visual Basic v5.0, сжат UPX.

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
  • В случае неработоспособности системы, переустановить её без удаления неинфицированных документов
  • Переустановить неработоспособные приложения

Действие

Червь для платформы Windows. Распространяется, заменяя файлы ряда расширений на свою копию, удаляя оригиналы, а также создает файл с именем, сходным с именем директории, и расширением exe. Проявляется визуально, добавляя к часам в системной панели (system tray) надпись “| CETiX”, заменяет имя пользователя, на которого зарегистрирована Windows, оставляет HTML-файл - метку заражения - файл “C:\ABOUTCETIX.HTML”, а также его копию на “Рабочем столе”.

Файл, поступающий на компьютер, имеет иконку документа Microsoft Word.