WinCE.Infomeiti
Тип:
Червь 
Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).
Операционная система:
Windows
Уровень:
низкий
Размер:
75.776 байт
Признаки
При запуске создает следующие файлы:
- %Windir%\mservice.exe
- %ProgramFiles%\Game\Big2\BIG2.exe
- %ProgramFiles%\Game\Big2\Images.dat
- %ProgramFiles%\Game\CChecker\CChecker.exe
- %ProgramFiles%\Game\Go\GNUGo.exe
- %ProgramFiles%\Game\GoBang\GoBang.exe
- %ProgramFiles%\Game\Kevtris\Kevtris.exe
- %ProgramFiles%\Game\Kevtris\240×320.dll
- %ProgramFiles%\Game\Kevtris\Sounds.dll
- %ProgramFiles%\Game\Link\GX.dll
- %ProgramFiles%\Game\Link\Link.dat
- %ProgramFiles%\Game\Link\Link.exe
- %ProgramFiles%\Game\Link\Link.sav
- %ProgramFiles%\Game\Link\ScoreList.sav
- %ProgramFiles%\Game\Link\Sound\blast.wav
- %ProgramFiles%\Game\Link\Sound\btnup.wav
- %ProgramFiles%\Game\Link\Sound\clickcard.wav
- %ProgramFiles%\Game\Link\Sound\gamefail.wav
- %ProgramFiles%\Game\Link\Sound\hint.wav
- %ProgramFiles%\Game\Link\Sound\music.wav
- %ProgramFiles%\Game\Link\Sound\pass.wav
- %ProgramFiles%\Game\Link\Sound\shuffle.wav
- %ProgramFiles%\Game\MaJong\MaJong.exe
- %ProgramFiles%\Game\SpbMine\records.dat
- %ProgramFiles%\Game\SpbMine\SPBMine.exe
Создает файл для обеспечения автозагрузки при каждом старте устройства:
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\mservice.lnk
Делает следующие записи в реестре:
- HKEY_LOCAL_MACHINE\Security\Policies\Policies\”0000101a” = “1″
- HKEY_LOCAL_MACHINE\Windows\Software\ms\”[3G]” = “%Windir%\mss.zip”
- HKEY_LOCAL_MACHINE\Windows\Software\ms\”Mssver” = “%Windir%\msf.zip”
- HKEY_LOCAL_MACHINE\Windows\Software\ms\”Favoritesver” = “%Windir%\msa.zip”
- HKEY_LOCAL_MACHINE\Windows\Software\ms\”popconfigver” = “%Windir%\msw.zip”
Распространяется копированием себя на карты памяти:
- [ИМЯ_КАРТЫ_ПАМЯТИ]\2577\autorun.exe
Может загружать файлы с сайта [http://]mobi.xiaomeiti.com. Файлы сохраняютсякак:
- %Windir%\mss.zip
- %Windir%\msf.zip
- %Windir%\msa.zip
- %Windir%\msw.zip
Собирает с устройства следующую информацию:
- Имя хоста
- Версия ОС
- Имя пользователя
- Информация о радиооборудовании
- Информация о ПО для радиооборудования
- Серийный номер
- Идентификатор абонента
Собранная информация отсылается на сайт [http://]mobi.xiaomeiti.com.
Загружает с того же сайта обновление (URL - [http://]mobi.xiaomeiti.com/uploadfile/mservice2.zip).
Может рассылать SMS на случайные номера.
WCE/Meiti-A (Sophos), WinCE/Infojack (McAfee).
ЗАЩИТА
- Полностью проверить систему антивирусом с обновлённой базой сигнатур
- Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки
Действие
Червь для платформ Windows CE и Windows Mobile. Распространяется копированием себя на карты памяти мобильных устройств. Крадет конфиденциальные данные и отправляет их атакующему; ослабляет настройки безопасности системы. Может рассылать SMS по случайным номерам.