Virus Type: Worm
Affected OS: Windows
Size: 377344 bytes
Packed by: UPX
Для закрепления в системе:
Копирует себя по следующим путям (и устанавливает этим файлам атрибуты Скрытый и Системный):
%WinDir%\system32\IEXPLORERS.exe
%WinDir%\IEXPLORERS.exe
%WinDir%\system32\WORD.exe
Изменяет ключи реестра для автозапуска следующим образом:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="explorer.exe IEXPLORERS.exe"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Yahoo Messengger"="%WinDir%\system32\IEXPLORERS.exe"
Изменяет ключ реестра для удаления лимита на время выполнения задания:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
"AtTaskMaxHours" = 0
Создаёт задание системного планировщика для запуска себя ежедневно в 9.00:
"cmd.exe /c at 09:00 /interactive /every:m,t,w,th,f,s,su %WinDir%\system32\WORD.exe"
Устанавливает реестровые политики для текущего пользователя с целью усложнения изменения настроек отображения скрытых файлов, а также запрета использования regedit.exe и taskmgr.exe:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NofolderOptions"=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr"=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=1
В фоновом режиме ожидает появления окон с сообщениями о запрете использования указанных системных утилит. При появлении таких окон немедленно закрывает их.
Распространение происходит посредством копирования себя на доступные сетевые папки и сменные носители (обычно под именем "IEXPLORERS.exe" и "Bi mat.exe"). В корневую директорию сменных носителей и локальных дисков также копируется файл "autorun.inf" для обеспечения автозапуска.
В некоторых случаях червь может завершать процессы:
explorer.exe
cmd.exe
Основной целью существования программы является загрузка файлов и их запуск. Для получения ссылок на загрузку файлов червь обращается по следующим адресам:
http://set*****mb.com/setting.doc
http://hva*****m.googlepages.com/setting.doc
http://set*****5.com/setting.doc
Полученные настройки сохраняются как "%WinDir%\system32\settings.ini". На момент анализа ни один из сайтов уже не был доступен.