W32.IRCBot.DCN

Новости

Тип:

Червь Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).

Операционная система:

Windows

Уровень:

средний

Размер:

157.199 байт

Признаки

При запуске создает файл %System%\wbem\rpchost.exe (%System% - системная директория Windows).

Модифицирует драйвер TCP/IP для увеличения количества одновременных TCP/IP соединений (драйвер %System%\drivers\tcpip.sys).

Обеспечивает себе автозапуск, создавая следующие записи в реестре:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”Generic Host Process for Win32 Service” = “%System%\wbem\rpchost.exe”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\”Generic Host Process for Win32 Service” = “%System%\wbem\rpchost.exe”

Также создает следующие записи в реестре:

  • HKEY_CURRENT_USER\Software\Microsoft\OLE\”Generic Host Process for Win32 Service” = “%System%\wbem\rpchost.exe”
  • HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\”Generic Host Process for Win32 Service” = “%System%\wbem\rpchost.exe”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\”%System%\wbem\rpchost.exe” = “%System%\wbem\rpchost.exe:*:Enabled:Generic Host Process for Win32 Service”

Открывает “черный ход”, подключаясь к IRC-серверу help.dawnsoul.net:7654.

Может загружать на компьютер дополнительный вредоносный код.

Для распространения через совместно используемые сетевые ресурсы может подбирать пароли.

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием на совместно используемые сетевые ресурсы и посредством эксплуатации уязвимостей к удаленному выполнению кода без участия пользователя: Web Task Stored Procedure в MS SQL Server 7.0 (CVE-2002-1145), DCOM-RPC в Windows NT 4.0 - Server 2003 (CVE-2003-0352) и LSASS (CVE-2003-0533).

Открывает “черный ход” на уязвимый компьютер, подключаясь к IRC-серверу.