Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Net-Worm.Win32.Allaple.a

Net-Worm.Win32.Allaple.a

Время детектирования	08 авг 2007 17:46 MSK
Время выпуска обновления	24 ноя 2011 20:57 MSK
Описание опубликовано	08 авг 2007 17:46 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, распространяющийся по локальной сети. Является приложением Windows (PE EXE-файл). Имеет размер 57856 байт.

Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows:

%System%\urdvxc.exe

С целью автоматического запуска при каждом последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCR\CLSID\{31D89687-B459-9FEE-EC54-AA92A8105F56}\LocalServer32]
@ = "%System%\urdvxc.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
@ = "%System%\urdvxc.exe"

Также червь создает службу с именем «MSWindows» и псевдонимом «Network Windows Service», которая запускает исполняемый файл червя:

%System%\urdvxc.exe /service

Распространение по локальной сети

Червь получает список доступных в сетевом окружении компьютеров и производит атаки переполнения буфера с использованием уязвимости DCOM RPC. При успешном ее использовании червь посылает на удаленный компьютер микро-загрузчик, который закачивает и запускает основной файл червя.

Также вредоносная программа пытается подключиться к системной записи сетевого администратора, используя следующие пароли:

www
windows
visitor
test2
password
test1
test
temp
telnet
ruler
remote
real
random
qwerty
public
private
poiuytre
passwd
pass
oracle
nopass
nobody
nick
newpass
new
network
monitor
money
manager
mail
login
internet
install
hello
guest
go
X
demo
default
debug
database
crew
computer
coffee
bin
beta
backup
backdoor
anonymous
anon
alpha
adm
access
abc123
system
sys
super
sql
shit
shadow
setup
security
secure
secret
123456789
12345678
1234567
123456
12345
1234
123
12
1
00000000
0000000
000000
00000
0000
000
00
server
asdfgh
root

В случае успешного подключения червь копирует свой исполняемый файл в системный каталог Windows («%System%») на удаленном компьютере.

Деструктивная активность

Червь производит поиск файлов с расширением «.htm» на компьютере пользователя и извлекает из них адреса электронной почты. Найденные адреса отправляются на сайт злоумышленника.

Также вирус обладает функцией загрузки на компьютер пользователя файлов из сети Интернет и их последующего запуска на исполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

При помощи «Диспетчера задач» завершить процесс червя.
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить следующие параметры в ключах системного реестра:
[HKCR\CLSID\{31D89687-B459-9FEE-EC54-AA92A8105F56}\LocalServer32]
@ = "%System%\urdvxc.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
@ = "%System%\urdvxc.exe"
Удалить файл:
```
%System%\urdvxc.exe
```
Удалить службу с именем:
```
Network Windows Service
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие названия

Net-Worm.Win32.Allaple.a («Лаборатория Касперского») также известен как:

Virus: W32/RAHack (McAfee)
W32/Allaple-F (Sophos)
Worm.Allaple-177 (ClamAV)
Worm.Allaple-311 (ClamAV)
Worm.Allaple-314 (ClamAV)
Trj/Krap.W (Panda)
W32/Rahack.gen.worm (Panda)
W32/Endom.A (FPROT)
Worm:Win32/Allaple.A (MS(OneCare))
Trojan.Starman (DrWeb)
Win32.Worm.Allaple.Gen (BitDef7)
Worm.Allaple.Gen (VirusBuster)
Win32:Fasec [Trj] (AVAST)
Net-Worm.Win32.Allaple (Ikarus)
Worm/Allaple.A (AVG)
WORM/Allaple.Gen (AVIRA)
W32.Rahack.H (NAV)
NseCheckFile2() returned 0x00010018 (Norman)
Worm.Win32.Allaple.a (Rising)
Net-Worm:W32/Allaple.gen!B [FSE] (FSecure)
WORM_ALLAPLE.IK (TrendMicro)
Worm.Allaple.Gen (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com