Worm.Win32.Rahak.a

Worm.Win32.Rahak.a («Лаборатория Касперского») также известен как: W32/RAHack (McAfee), W32.Rahack (Symantec), Win32.RAHack (Doctor Web), Troj/Agent-BQ (Sophos), Backdoor:Win32/Agent.GO (RAV), BKDR_RASBA.B (Trend Micro), TR/RAHack (H+BEDV), BackDoor.Agent.5.N (Grisoft), Backdoor.Agent.GO (SOFTWIN), W32/Rahack.B (Panda), Win32/Agent.GO (Eset)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Распространяется по слабо защищенным сетевым ресурсам.

Червь представляет собой PE EXE-файл. Имеет размер от 69 КБ и более. Упакован FSG. Размер распакованного файла — около 194 КБ и более.

Инсталляция

После запуска червь копирует себя в системный каталог Windows со следующими именами:

  
  %System%\mscolsrv.exe
  %System%\svchsot.exe

Червь может работать как обычное приложение и как сервис (под Windows NT/2K/XP) с именем MSCoolServ.

Также в системном каталоге Windows червь создает следующие файлы:

* %System%\server.dll (около 78 КБ) — детектируется Антивирусом Касперского, как Trojan-Dropper.Win32.Small.pu;

* %System%\syshid.exe (около 5 КБ) — детектируется Антивирусом Касперского, как Worm.Win32.Rahak.a.

Затем червь регистрирует себя в ключах автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "sysser"="<путь до оригинального 
  запускаемого файла>"
  
  [HKLM\System\CurrentControlSet\
  Services\MSCoolServ]
   "ImagePath"="%System%\
  mscolsrv.exe -service"
  

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает следующий файл в каталоге автозагрузки:

%UserProfile%\Start Menu\Programs\Startup\system.vbs

Червь изменяет следующий ключ системного реестра таким образом, чтобы при запуске файлов с расширением exe вместо этих файлов на исполнение запускался зараженный файл:

  
  [HKCR\exefile\shell\open\command]
  [HKLM\Software\Classes\exefile\shell\open\command]
   "default"="syshid.exe %1 %"

Распространение по сети

Червь распространяется по слабо защищенным сетевым ресурсам.

Червь заражает компьютеры в глобальной сети, на которых установлена утилита удаленного управления Remote Administrator, позволяющая получить доступ к интерфейсу удаленного компьютера в режиме реального времени. Для своей работы RAdmin по умолчанию использует TCP порт 4899. Червь сканирует произвольные IP-адреса компьютеров, слабозащищенных паролем, с открытым TCP портом 4899.

Червь использует следующие пароли:

  00000000 
  11111111 
  12341234 
  12345678 
  123456789 
  password 
  qwertyui

Далее червь копирует себя на удаленный компьютер в следующую папку со следующим именем:

  
  C:\wutemp\srvsxc.exe

После чего запускает данный файл на исполнение.

Действия

На зараженном компьютере червь ищет файлы с расширениями htm и html и копирует себя в те же папки с теми же именами с расширением exe.

Червь изменяет оригинальные htm и html файлы, дописывая в них код, запускающий вместо них копию вируса.