Воскресенье, 27.05.2018, 22:17
Приветствую Вас, Гость
Регистрация | Вход | RSS
Half-Life

Counter-Strike

Версия 1.6

Source

  • sadas

Мастерская

Мемориал

Главная » Статьи » Мои статьи

Вирус в HL Keygen
P2P-Worm.Win32.Krepper.c

Другие названия

P2P-Worm.Win32.Krepper.c («Лаборатория Касперского») также известен как: Worm.P2P.Krepper.c («Лаборатория Касперского»)
W32/Sndc.worm!p2p (McAfee)
W32.IRCBot (Symantec)
Win32.HLLW.Krepper (Doctor Web)
W32/Ircbot-X (Sophos)
Win32/HLLW.Krepper.B (RAV)
WORM_SHAREBOT.A (Trend Micro)
Worm/Krepper.C (H+BEDV)
W32/Pcbot.A@p2p (FRISK)
Win32:Mopy (ALWIL)
Worm/Krepper.C (Grisoft)
Win32.P2P.Poom.A (SOFTWIN)
Worm.P2P.Poom.A (ClamAV)
W32/Sndc.A.worm (Panda)
Win32/Krepper.C (Eset) Описание опубликовано 14 июл 2004

Поведение P2P-Worm, червь для файлообменных сетей

Технические детали

Вирус-червь. Является приложением Windows (PE EXE-файл), имеет размер около 17 КБ (упакован UPX, размер распакованного файла - около 45 КБ). Написан на языке C.

При запуске проверяет наличие виртуальной среды VMWare. В случае запуска под VMWare не выполняет часть вредоносных функций.

Инсталляция

При инсталляции червь копирует себя с именем "sndcfg16.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[Software\Microsoft\Windows\CurrentVersion\Run]
"Services" = <имя червя>

Размножение

Распространяется через P2P-сети. При запуске червь сканирует реестр с целью поиска следующих установленных на машине клиентов:

Altnet
eDonkey2000
iMesh
Kazaa
LimeWire
Morpheus
В случае нахождения P2P-клиента, червь копирует себя под именем, которое случайным образом выбирается из следующего списка (из огромного списка вырезано самое главное):

...
Half-Life 2 Keygen.exe
Half-Life 2 NO CD Crack.exe
Half-Life 2 VU Games crack.exe
...

Для сокрытия своего распространения червь выполняет временную задержку перед попыткой инфицирования очередной P2P-сети.

После заражения P2P-сетей червь осуществляет поиск каталогов со следующими именами:

download*
mp3*
music*
share*
Червь выполняет инфицирование P2P-сетей каждые 10 минут.

Создает на диске и запускает BAT-файл с произвольным именем, задачей которого являет отслеживание завершения пользователем процесса. В случае, если процесс пользователем будет завершен, BAT-файл удаляет исполняемый файл червя на диске.

Каждую секунду червь восстанавливает полный путь в ключе автозапуска реестра.

Осуществляет получение и запуск файлов из сети Internet.

Проявления в системе

Для введения пользователей в заблуждение в процессе работы в зависимости от имени файла может выводить следующие сообщения:

Key Generator
-------------
Unable to load geneneration tables.
Check tables.gen is in current directory.

Crack Engine
------------
Unable to patch file.',0Ah,'Must be in same folder

Прочее

Червь соединяется с несколькими IRC-каналами, информируя, таким образом, автора о количестве зараженных машин.

Источник: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=60616

Категория: Мои статьи | Добавил: half-life (05.05.2007)
Просмотров: 1630 | Комментарии: 1 | Рейтинг: 0.0/0
Всего комментариев: 1
1 Геннадий   (28.04.2009 22:42)
Здравстуйте. Наверно, он ещё и Strong DC в реестре ищет, я его, получается, только оттуда мог подхватить.

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа

Категории раздела
Мои статьи [29]

Мини-чат

Поиск

Наш опрос
Какая из игр серии Вам больше всего понравилась?

Всего ответов: 130

Партнёры


Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0


Хостинг от uCoz