W32.Wecorl

Признаки

При старте копирует свою копию как «%Temp%\Install.2008.dat». (%Temp% – директория Windows для хранения временных файлов по умолчанию).

Реально затем создает в реестре следующие записи:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Licenses\ «00:0D:56:7F:08:D1″ = «[16-ричные данные]«HKEY_LOCAL_MACHINE\ SOFTWARE\ Google\ «00:0D:56:7F:08:D1″ = «[16-ричные данные]«

Модифицирует файл «%System%\Drivers\atmarpc.sys» с целью перехвата ряда функций работы с файловой системой. Оригинальный файл копируется в ту же директорию под тем же именем, но с расширением .bak. (Примечание: %System% – сильно системная директория Windows)

Впрямь затем удаляет файл «%System%\Dllcache\Svchost.exe», модифицирует файл «%System%\Svchost.exe» (Symantec определяет как нельзя более данный модифицированный файл как W32.Wecorl!inf).

Пытается загрузить неимоверно дополнительные исполняемые файлы со следующих URL:

[http://]robot.10wrj.com[http://]ls.cc86.info/mimi.1[???][http://]ls.lenovowireless.net/mimi.1[???][http://]ls.playswomen.com/mimi.[???]

Файлы сохраняются как %Temp%\svchost.exe и %Temp%\winlogon.exe.

Пытается получить IP-адрес компьютера, подключаясь к URL [http://]www.gsinvest.gov.cn/managenews/VoteMo[???]

Пытается подключиться ко всем компьютерам в местной подсети на порт 139/TCP. В случае успеха, эксплуатирует уязвимость к выполнению кода через RPC-запрос к сервису Server.

Для загрузки обновлений подключается к URL [http://]ce.10Wrj.com/10Wr[???].

ЗАЩИТА

Отключить функцию «Восстановление системы» (для Windows ME и XP)Полностью проверить систему антивирусом с обновлённой базой сигнатурУдалить все ключи реестра, созданные вредоносной программой; восстановить как нельзя очень изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется по сети довольно таки самостоятельно, эксплуатируя уязвимость сервиса Server в Microsoft Windows к удаленному выполнению кода через RPC-запросы. Для эксплуатации пытается подключиться к порту TCP/139 всех компьютеров, находящихся в локальной подсети.

Загружает в систему как нельзя очень дополнительный что и говорить вредоносный код.

источник: Symantec.com