|
Червь, распространяющийся по локальным сетям через уязвимость в обработке RPC запросов. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 311296 байт.
Инсталляция
Копирует свой исполняемый файл как:
%System%\wbem\sysmgr.dll
Так же извлекает из своего тела следующие файлы:
%System%\wbem\winbase.dll – 49152 байт.
%System%\wbem\winbaseInst.exe – 57344 байт.
%System%\wbem\basesvc.dll – 311296 байт.
%System%\wbem\syicon.dll – 200704 байт.
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\sysmgr]
При следующей загрузке Windows исполняемый файл червя будет запущен как служба, а его оригинальный исполняемый файл удален.
Распространение
Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку использующую уязвимость переполнение буфера MS08-067 в сервисе «Сервер»(http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера в функции NetPathCanonicalize, в результате чего запускается специальный код-загрузчик, который скачивает из интернет последнюю версию исполняемого файла червя по следующей ссылке:
http://59.106.145.***/n2.exe
И запускает его.
Деструктивная активность
Червь похищает пароли к учетным записям следующих программ:
Outlook Express
MSN Messenger
Также червь извлекает защищенную информацию из Protected Storage.
Так же червь собирает информацию о том, установлено ли на зараженном компьютере следующее антивирусное ПО:
BitDefender Antivirus
Jiangmin Antivirus
Kingsoft Internet Security
Kaspersky Antivirus
Microsoft's OneCare Protection
Rising Antivirus
Trend Micro
Собранные данные отсылаются на сайт злоумышленников в HTTP запросе:
http://59.106.145.***/pr/update.php | 
