W32.Scrapkut

Новости

Тип:

Червь Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).

Операционная система:

Windows

Уровень:

низкий

Размер:

переменный

Признаки

Червь поступает жертве - пользователю Orkut) как комментарий-scrap (по терминологии Orkut).

Для отправки комментария всем пользователям в адресной книге жертвы использует сценарий GreaseMonkey.Комментарий содержит изображение, похожее на изображени с YouTube, перенаправляющеебраузер на следующий URL: [http://]instantflashx.zip.net/watch[???]

По данному URL находится страница, которая сообщает о невозможности воспроизвестивидео без Macromedia Flash Player, и предлагает загрузить плеер (на самом деле - копию червя) с URL[http://]installgetflash.blogcindario.com/ficheros/flashx_play[???].

При запуске отображает окно с сообщением на португальском об успешной установке плагина.

Червь загружает вредоносные файлы со следующих URL:

  • [http://]avdetectordok.ifastnet.com/vaiprim[???]
  • [http://]pluginforweb22.ifastnet.com/auook[???]
  • [http://]youprincipalpug.ifastnet.com/gamesys[???]

Файлы сохраняются в следующие места на диске:

  • %Windir%\windosremote.exe
  • %Windir%\logservicess.exe
  • %Windir%\win32chekupdate.exe

Запускает командный файл, пытающийся завершить антивирусные процессы.

Затем запускает файл %Windir%\win32chekupdate.exe, загружающий файлы соследующих URL:

  • [http://]plugddownload.ifastnet.com/PP.reg
  • [http://]plugddownload.ifastnet.com/system32/Partizan.exe
  • [http://]plugddownload.ifastnet.com/drivers/Partizan.sys
  • [http://]plugddownload.ifastnet.com/addreg.exe

Сохраняет их как:

  • %Windir%\PP.reg
  • %System%\Partizan.exe
  • %System%\drivers\Partizan.sys
  • %Windir%\addreg.exe

Обращается к веб-странице, подсчитывающей количество заражений:

  • [http://]www.csiclasnwebgamer.com/contad[???]

Модифицирует следующую запись в реестре:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\”BootExecute” = “[a.u.t.o.c.h.e.c.k. .a.u.t.o.c.h.k. .*…P.a.r.t.i.z.a.n]”

Создает в реестре запись:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Partizan\”Group” = “Boot Bus Extender”

Создает сервис со следующими характеристиками:

  • Image Path: %System%\drivers\Partizan.sys
  • Display Name: Partizan
  • Startup Type: Automatic

Встраивает код в процесс Internet Explorer.

Распространяется, рассылая комментарии-scraps всем пользователям Orkut,перечисленным в адресной книге, когда пользователь-жертва подключается к этой социальной сетис захваченного компьютера.

Псевдонимы: W32/Scrapkut.worm (McAfee).

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Найти и остановить сервис, созданный вредоносной программой.
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется рассылкой себя пользователям социальной сети Orkut. Загружает дополнительные файлы из интернета, завершает процессы, принадлежащие антивирусным программам.