W32.Harakit

Описание:
Троян-червь для платформы Windows. Распространяется копированием на совместно используемые сетевые ресурсы, съемные диски и интернет-пейджеры. Открывает в системе "черный ход" через IRC сервер.

Тип вредоносной программы:
Червь

ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Уровень опасности:
низкий

Размер:
454.134 байта

Технические детали:
При старте создает следующие файлы:

%SystemDrive%\khq
%SystemDrive%\khr
%System%\cftm.exe
%System%\cftmen.exe

%SystemDrive% - системный диск
%System% - системная директория Window

Затем копирует себя как "%System%\csrcs.exe" и удаляет копию, с которой был запущен. Копирует себя в корень каждого диска, доступного для записи, создавая там же файл автозапуска autorun.inf.

Обеспечивает себе автозагрузку при каждом старте системы. Для этого вносит в реестр следующие записи (последнюю - модифицирует):


Через реестр отключает отображение файлов в системной директории:

Может создать и заполнить различными данными следующие ключи реестра:

Может удалить следующие записи в реестре:

Может удалять из реестра записи с целью понижения защищенности системы:

Для обеспечения НСД атакующему, подключается к IRC-серверу для получения и выполнения следующих команд:

- Сбор конфиденциальной информации
- Работа на IRC-каналах в качестве бота
- Загрузка и запуск дополнительных исполняемых файлов
- Обновление себя

Пытается подключаться к ряду URL:

- akitaka.oct382x.com/lexum/genst.htm
- checkip.dyndns.org/?rndl
- diesam.moe.hm/ii/133.php
- geoloc.daiguo.com
- lemox.myhome.cx
- oct382x.com/4.exe
- oct382x.com/4.php
- oct382x.com/lexum/genste.htm
- sousi/extasix.com/genst.htm
- tonkor.or.tp/llkah.htm
- tonkor.or.tp/worlog1.php
- tonkor.or.tp/worlog2.php
- tonkor.or.tp/worlog3.php
- tonkor.or.tp/worlog4.php
- tonkor.or.tp/worlog5.php
- tonkor.or.tp/worlog6.php
- www.whatismyip.com/?rndl
- www.whatismyip.com/automation/n09230945.asp
- zkarmy.dip.jp/oolksh.htm

Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.