Net-Worm.Win32.DipNet.d

Другие модификации: .a

Другие названия
Net-Worm.Win32.DipNet.d («Лаборатория Касперского») также известен как: Exploit-MS04-011.gen (McAfee), Win32.HLLW.Daras (Doctor Web), Worm/DipNet.b (H+BEDV), Win32.Worm.DipNet.D (SOFTWIN), Exploit.DCOM.Gen (ClamAV), Win32/Dipnet.NAC (Eset)

Технические детали

Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер около 91 КБ, упакован UPX. Размер распакованного файла около 264 KБ.

Вирус распространяется, используя уязвимость Microsoft Windows LSASS (MS04-011). Подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Червь содержит в себе 'бекдор' - функцию.

После запуска червь копирует себя в системный каталог Windows с произвольным именем. Например:

%System%\wcss.exe

После чего создает сервис с именем 'WebPoster'.

Затем червь регистрирует этот файл в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinNetDDE" = "%System%\произвольное имя.exe"

После чего оригинальный файл червя удаляется.

Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.

Червь открывает на зараженной машине TCP порт 11768 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе.

На зараженном компьютере червь открывает один из следующих интернет сайтов с целью проверки существования соединения с интернетом:

www.yahoo.com
www.ebay.com
www.google.com

Скачать пробную версию Антивируса Касперского и купить антивирус можно на softdiscount.ru