Другие названия

P2P-Worm.Win32.Krepper.c («Лаборатория Касперского») также известен как: Worm.P2P.Krepper.c («Лаборатория Касперского»)
W32/Sndc.worm!p2p (McAfee)
W32.IRCBot (Symantec)
Win32.HLLW.Krepper (Doctor Web)
W32/Ircbot-X (Sophos)
Win32/HLLW.Krepper.B (RAV)
WORM_SHAREBOT.A (Trend Micro)
Worm/Krepper.C (H+BEDV)
W32/Pcbot.A@p2p (FRISK)
Win32:Mopy (ALWIL)
Worm/Krepper.C (Grisoft)
Win32.P2P.Poom.A (SOFTWIN)
Worm.P2P.Poom.A (ClamAV)
W32/Sndc.A.worm (Panda)
Win32/Krepper.C (Eset) Описание опубликовано 14 июл 2004

Поведение P2P-Worm, червь для файлообменных сетей

Технические детали

Вирус-червь. Является приложением Windows (PE EXE-файл), имеет размер около 17 КБ (упакован UPX, размер распакованного файла - около 45 КБ). Написан на языке C.

При запуске проверяет наличие виртуальной среды VMWare. В случае запуска под VMWare не выполняет часть вредоносных функций.

Инсталляция

При инсталляции червь копирует себя с именем "sndcfg16.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[Software\Microsoft\Windows\CurrentVersion\Run]
"Services" = <имя червя>

Размножение

Распространяется через P2P-сети. При запуске червь сканирует реестр с целью поиска следующих установленных на машине клиентов:

Altnet
eDonkey2000
iMesh
Kazaa
LimeWire
Morpheus
В случае нахождения P2P-клиента, червь копирует себя под именем, которое случайным образом выбирается из следующего списка (из огромного списка вырезано самое главное):

...
Half-Life 2 Keygen.exe
Half-Life 2 NO CD Crack.exe
Half-Life 2 VU Games crack.exe
...

Для сокрытия своего распространения червь выполняет временную задержку перед попыткой инфицирования очередной P2P-сети.

После заражения P2P-сетей червь осуществляет поиск каталогов со следующими именами:

download*
mp3*
music*
share*
Червь выполняет инфицирование P2P-сетей каждые 10 минут.

Создает на диске и запускает BAT-файл с произвольным именем, задачей которого являет отслеживание завершения пользователем процесса. В случае, если процесс пользователем будет завершен, BAT-файл удаляет исполняемый файл червя на диске.

Каждую секунду червь восстанавливает полный путь в ключе автозапуска реестра.

Осуществляет получение и запуск файлов из сети Internet.

Проявления в системе

Для введения пользователей в заблуждение в процессе работы в зависимости от имени файла может выводить следующие сообщения:

Key Generator
-------------
Unable to load geneneration tables.
Check tables.gen is in current directory.

Crack Engine
------------
Unable to patch file.',0Ah,'Must be in same folder

Прочее

Червь соединяется с несколькими IRC-каналами, информируя, таким образом, автора о количестве зараженных машин.

Источник: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=60616