Net-Worm.Win32. Stavron.a

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы Windows. Червь представляет собой PE EXE-файл, размером 352768 байт.

Червь распространяется по ресурсам локальной сети и шифрует пользовательские данные на зараженных компьютерах.

Червь распространяется по ресурсам локальной сети. Заражению подвержаны компьютеры с фиксированными IP-адресами.

Червь пытается соединиться с конкретным компьютером в сети, получить имя пользователя и администратора, доступ к различным сервисам зараженной машины.

Если текущая дата зараженного компьютера не позже 9-го марта 2006, то червь выполняет следующие действия:

• Считывает значение [HKCU\Volatile Environment\LOGONSERVER].
• Пытается соединиться с компьютером жертвы (Thread).
• Делает NetUserEnum на компьютер-жертву.
• Потом NetUserGetInfo чтобы получить информацию об учетной записи (т.о. получает имя учетной записи администратора).
• Запускает на компьютере жертвы сервисы RemoteRegistry и Seclogon.
• C помощью RegConnectRegistry удаленно открывает реестр, считывает [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRootNetShareEnum], создаёт список расшаренных ресурсов.
• Читает [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit] и прописывает себя в этот ключ.
• Проверяет существование %System%\prognam.exe и удаляет этот файл, если он существует.
• Проверяет, что сам находится в системном каталоге %System% и восстанавливает себе все атрибуты, как у файла %System32%\at.exe.

После чего червь формирует 20-байтный случайный ключ, используя команды Randomize и RandInt.

Также червь создает на зараженном компьютере следующий файл (3026 байт):

Данный файл содержит случайно сгенерированный набор символов.

Если текущая дата зараженного компьютера меньше 9-го марта 2006, то приложение завершается. В противном случае червь выполняет следующие деструктивные действия:

• Очищает Event Log.
• Читает [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit].
• Вызывает NetWkstaGetInfo от текущего компьютера.
• Делает NetUserEnum для всех пользователей данного компьютера.
• Первому пользователю в этом списке с помощью функций NetUserGetInfo и NetUserSetInfo меняется пароль на «@Июнь243$!jav9».

После этого червь формирует список всех логических дисков и список всех файлов на дисках, но удаляет из списков файлы, которые находятся в следующих каталогах:

Также из списка удаляются следующие файлы:

Далее идёт работа со списком:

• Для каждого файла червь формирует новое название:
  FILEISENCODED <зашифрованное имя оригинального файла>
• И переименовывает файлы.
• Проверяет, что размер файла не более 100000000 байт.
• Создаётся файл lkjhoiuy_$$00 и в него записывает результат шифрования оригинала, после чего оригинальный файл удаляется, и файл lkjhoiuy_$$00 переименовывается в оригинальное имя.

Независимо от действий вредоносной программы, она завершается через 400 секунд после старта.