Интересует механизм распространения по локальной сети + что он делает?

Также интересно... Нашел у себя в локалке, появляется в Share-папках но не пойму какой комп их туда бросает )

Также интересно... Нашел у себя в локалке, появляется в Share-папках но не пойму какой комп их туда бросает )
Аналогичная трабла, чем бы запалить запись в шару (Ip компа) , рассылку как я понял делает не постоянно, а раз в сутки. Вчера во всех шарах поубивали, сегодня снова разослал, после удаления из шары уже не шлёт...
P.S. Используется простой общий доступ к файлам и принтерам, без контроллера домена, AD и т.д.
пациент на VirusTotal (http://www.virustotal.com/ru/analisis/8d657e7016e93d1923e1a658ab7e77c6)
UP:
Начал тестить тварь в виртуалке, первая инфа:

1. Создаёт ключи реестра для своего автозапуска, в системе виден после запуска как процесс csrcs.exe запускаемый из System32.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run]
"csrcs"="C:\WINNT\system32\csrcs.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe csrcs.exe"


Меняет настройки безопасности и устанавливает настройки плагинов IE

18.11.2008 12:03:27 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): подозрительное действие. Попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced, значение Hidden, данные 0x00000002 (2)).
18.11.2008 12:04:04 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced, значение Hidden, данные 0x00000002 (2)) разрешена.
18.11.2008 12:04:05 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): подозрительное действие. Попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced, значение ShowSuperHidden, данные 0x00000000 (0)).
18.11.2008 12:04:08 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced, значение ShowSuperHidden, данные 0x00000000 (0)) разрешена.
18.11.2008 12:05:43 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация).
18.11.2008 12:05:57 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка выполнения подозрительных действий разрешена.
18.11.2008 12:05:57 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация).
18.11.2008 12:05:59 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка выполнения подозрительных действий разрешена.
18.11.2008 12:09:47 Процесс C:\WINNT\Explorer.EXE (PID: 1212): подозрительное действие. Попытка создания настройки плагинов для браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer, значение ITBarLayout, данные 11 00 00 00 4c 00 00 00 00 00 00 00 24 00 00 00 1b 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00).
18.11.2008 12:10:13 Процесс C:\WINNT\Explorer.EXE (PID: 1212): попытка создания настройки плагинов для браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer, значение ITBarLayout, данные 11 00 00 00 4c 00 00 00 00 00 00 00 24 00 00 00 1b 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00) разрешена.


Пытается бороться с Антивирусом Касперского:

18.11.2008 12:56:31 Попытка процесса с PID 1092 получения доступа к процессу Антивирус Касперского с PID 1368 была заблокирована. Это результат срабатывания механизма самозащиты.

2. Далее использует стандартные комманды cmd:
- сначала пингует что-то (даже при откл. сетевом подключении, скорее всего пытается отстучаться).
- затем скорее всего пытается определить конфигурацию сети (c помощью ipconfig) - на данном этапе у меня был отключен сетевой адаптер - так что это только предположение из его дальнейших действий:
- поскольку класс подсети он не смог определить, стал тупо сканить по диапазону 127.0.0.2-127.0.0.255 (используя комманду net view)

продолжение следует...

Такс... вроде нашёл чем определить откуда идёт рассылка, качаем NetBIOS Monitor (http://www.freeware.ru/program_prog_id_12524.html) смотрим подозрительную (частую) активность IP. Идём на тачки и проверям факт заражения (по процессам, ключам реестра).
У меня три машины обнаружились с интенсивной активностью по NetBIOS...
P.S. Пошёл их проверять, продолжение следует...

Одного прихлопнул, ломился в интернет на следующие сайты:

LEMOX.MYHOME.CX
ZKARMY.DIP.JP
TONKOR.OR.TP
DIESAM.MOE.HM
- правда на шлюзе авторизация, так что безуспешно...
P.S. Заходить не рекомендую, потому как сайты походу заряжены свежими сплоитами (по крайней мере у Оперы 9.51 сносит крышу).

Спасибо... Попробую по твоей методики выслить заразу.. :)