Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер около 10КБ, упакован UPX. Размер распакованного файла около 24KБ.
Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер около 10КБ, упакован UPX. Размер распакованного файла около 24KБ.
Вирус распространяется, используя уязвимость Microsoft Windows LSASS ( MS04-011 ).
Червь содержит в себе бэкдор-функцию.
После запуска червь копирует себя в системный каталог Windows с произвольным именем. Например:
%System%\gytotrn.exe
Затем червь регистрирует этот файл в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Cryptographic Service"="%System%\<произвольное имя>.exe"
Также создает ключ:
[HKLM\SOFTWARE\Microsoft\Wireless] "ID"="<произвольное значение>"
Червь создает уникальный идентификатор «uterm19» для определения своего присутствия в системе.
Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.
Червь открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.
Padobot.m пытается установить соединение для приема команд и передачи данных с несколькими каналами на IRC-серверах:
Спойлер: она начинается с подписки на наш канал