Si tratta di un worm che si diffonde attraverso i dischi rimuovibili.
Può infettare i sistemi operativi Microsoft: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows 7.
Quando si esegue, il worm crea le seguenti copie di se stesso
%SysDir%\drivers\mrxcls.sys
%SysDir%\drivers\mrxnet.sys
Da notare che questi file presentano una firma digitale non valida della Realtek Semiconductor Corporation.
Successivamente, il worm registra il file mrxcls.sys come un servizio con le seguenti caratteristiche
Nome Mostrato
MRXCLS
Tipo di Avvio
Automatico
Percorso del File Eseguibile
%SysDir%\drivers\mrxcls.sys
Per registrare il servizio, il worm crea la seguente chiave di Registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\"ImagePath" = "%SysDir%\drivers\mrxcls.sys"
Il malware registra anche il file mrxnet.sys come un servizio con le seguenti caratteristiche
Nome Mostrato
MRXNET
Tipo di Avvio
Automatico
Percorso del File Eseguibile
%SysDir%\drivers\mrxnet.sys
Per registrare il servizio, il worm crea la seguente chiave di Registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\"ImagePath" = "%SysDir%\drivers\mrxnet.sys"
Il malware nasconde i file con il seguente nome
%LetteraDisco%\~WTR[QUATTRO NUMERI].tmp
Il worm nasconde questi file sovrascrivendo le seguenti API
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
Il worm inietta il suo codice in determinati processi.
Il malware di diffonde creando le seguenti copie di se stesso nei dischi rimuovibili connessi al computer infettato
%LetteraDisco%\~WTR4132.tmp
%LetteraDisco%\~WTR4141.tmp
Fonte: http://www.nod32.it/threat-center/
Nessun commento:
Posta un commento