Интернет-червь, распространяющийся через "peer-to-peer" сети Kazaa и iMesh, а также через IRC. Червь является приложением Windows (PE EXE), имеет размер около 12КБ.
После запуска червь создает каталог "Sys32i" в каталоге Program Files и копирует туда себя с именем "Scran.exe". Червь регистрирует данный файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "W32.Scran"="%ProgramDir%\sys32i\Scran.exe"
В этом же каталоге червь создает еще несколько своих копий со следующими именами:
Age of Empires crack.exe Age of Empires.exe CD Key.exe Counter Strike 6.exe Counter Strike.exe Grand Theft Auto 3 CD2 ISO.exe Half-Life.exe Hotmail account cracker.exe Hotmail Hack.exe KeyGen.exe Microsoft Office.exe Norton Anti Virus 2004.exe Norton Anti Virus 2005.exe Norton Anti Virus Crack.exe Norton Firewall.exe Norton Internet Security 2004.exe Partition Magic 8.exe Playstation 2.exe Resident Evil.exe Scran.cpl Tomb Raider.exe Trojan Remover.exe Windows XP Home.exe Yahoo Hack.exe ZoneAlarm Firewall Pro.exe
Данный каталог указывается в системном реестре Windows как Local Content систем файлообмена Kazaa и iMesh:
[HKCU\Software\Kazaa\LocalContent] [HKCU\Software\Kazaa\Transfer] "dir0"="012345:%ProgramDir%\sys32i\" [HKCU\Software\iMesh\Client\LocalContent] "dir0"="012345:%ProgramDir%\sys32i\"
В результате чего данные файлы становятся доступны для загрузки другими пользователями P2P сетей.
Червь создает уникальный идентификатор для определения своего присутствия в системе, с именем "W32.Scran-Worm".
Червь ищет на компьютере установленный IRC клиент и если такой обнаружен, изменяет содержимое файла script.ini таким образом чтобы пытаться передать свою копию всем пользователям IRC-каналов, на которые заходит владелец зараженного компьютера.
Червь загружает с сайта http://www.freewebs.com файл "botnet.jpg" и сохраняет его в корневой каталог диска C: с именем "botnet.exe". Данный файл является очередной модификацией Backdoor.Win32.RBot.gen.
1 января червь выводит на экран message box с текстом:
Ha? Happy New Year W32.Scran!!
Разбираем кейсы, делимся опытом, учимся на чужих ошибках