W32.Rotinom

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21399
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

W32.Rotinom

Post13 sty 2011, 23:36

Nazwa: W32.Rotinom
Typ: Robak na pamięciach flash
Źródło: Symantec
System: Windows

Działanie:

Kopiuje się do lokalizacji:

Kod: Zaznacz cały

%UserProfile%\Local Settings\Application Data\start\update.exe


Tworzy foldery:

Kod: Zaznacz cały

  * %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320
    * %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\dmc
    * %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom
    * %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom\Usb 2.0 Driver
    * %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom\Usb 2.0 Driver\S-1-5-31-1286970278978-5713669491-166975984-320
    * %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom\Usb 2.0 Driver\S-1-5-31-1286970278978-5713669491-166975984-320\dmc
    * %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom\Usb 2.0 Driver\S-1-5-31-1286970278978-5713669491-166975984-320\tlsr
    * %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\tlsr
    * %UserProfile%\Local Settings\Application Data\start



Modyfikuje rejestr:

Kod: Zaznacz cały

    * HKEY_USERS\S-1-5-21-1085891436-353507534-1371566055-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
    * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%UserProfile%\Local Settings\Application Data\start"
    * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
    * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
    * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"WebViewBarricade" = "0"
    * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Startup" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\start"



Tworzy swoją kopię siebie o nazwie z istniejącego folderu a jego samego ukrywa
Dla folderu

Kod: Zaznacz cały

%DriveLetter%\[FOLDER NAME]


Utworzy swoją kopię w:

Kod: Zaznacz cały

%DriveLetter%\[FOLDER NAME].exe
Hotfix
Pozdrawiam, cosik_ktosik :)


  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości