Worm.Shorm заражает компьютеры в локальной сети

Worm.Shorm — cетевой червь, заражающий компьютеры под управлением Windows. Распространятся по локальным и глобальным сетям. При распространении выбирает компьютер-жертву и, если диск на компьютере открыт на полный доступ, создает на нем свою копию в каталоге авто-запуска Windows.

Также «ворует» пароли доступа в сеть и Интернет. Считывает RAS-информацию (имя пользователя, номера телефонов, пароли), кешированные пароли доступа и отправляет их на два адреса: krenx@mail.ru и winam@mail.ru.

При запуске на компьютере червь копирует себя в системный каталог Windows с тремя именами: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE. Затем эти файлы регистрируются в ключах авто-запуска системного реестра. Таким образом, червь запускается при каждом рестарте Windows.

Затем червь обращается к Web-странице по адресу
«http://krenx.newmail.ru/ip.txt» и считывает ее содержимое. Данная страница содержит IP-маски подсетей, которые атакуются червем.

Червь затем выбирает случайную маску подсети, перебирает все возможные IP-адреса этой подсети и пытается установить соединение. Если соединение произошло удачно (т.е. существует компьютер с данным IP-адресом) червь
пытается получить доступ к его диску. Если диск открыт на полный доступ (чтение/запись), то червь определяет имя каталога Windows и копирует себя туда с именами:

Start MenuProgramsStartUpAVPMonitor.exe
Главное менюПрограммыАвтозагрузкаAVPMonitor.exe

Таким образом зараженными могут оказаться компьютеры под управлением английской и русской версий Windows. Поскольку червь копирует себя в каталог авто-запуска Windows, то он будет автоматически исполнен при очередной перезагрузке Windows.

Червь также может «апдейтить» себя с Web-сайта. Для этого он обращается к Internet-файлу «http://krenx.newmail.ru/win.exe», скачивает его и запускает на локальной машине.

Технические детали