Win32:Kapucen-B

Win32:Kapucen-B je červem šířícím se v P2P sítích, je známý také jako Win32/Puce nebo W32.ECup

Základní informace
Typ Worm
Aliasy Win32/Puce, W32.ECup
Verze VPS 18. července 2006
Platforma Windows
Velikost souboru 106,496 bajtů

Popis

Win32:Kapucen-B kopíruje sám sebe jako %Temp dir%\svchost.exe a vytvoří zápis do registru 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsServicesStartup "%Temp dir%\svchost.exe 1"

Tento zápis v registru způsobí spuštění wormu při každém startu Windows.

Win32:Kapucen-B následně prohledává disky C, D a E a hledá adresáře:

  • \Program files\emule\incoming
  • \Download
  • \T chargement
  • \Incoming
  • \Archivos de programa\emule\incoming
  • \Program Files\Kazaa Lite K++\My Shared Folder
  • \Program files\KMD\My Shared Folder
  • \Program files\KaZaA Lite\My Shared Folder
  • \Program files\Morpheus\My Shared Folder
  • \Program files\BearShare\Shared
  • \Program files\Edonkey2000\Incoming
  • \My Downloads
  • \My Shared Folder
  • \Program files\appleJuice\incoming
  • \Program files\Gnucleus\Downloads
  • \Program files\Grokster\My Grokster
  • \Program files\ICQ\shared files
  • \Program files\KaZaA\My Shared Folder
  • \Program files\LimeWire\Shared
  • \Program files\Overnet\incoming
  • \Program files\Shareaza\Downloads
  • \Program files\Swaptor\Download
  • \Program files\WinMX\My Shared Folder
  • \Program files\Tesla\Files
  • \Program files\XoloX\Downloads
  • \Program files\Rapigator\Share

a na discích F, G adresář

  • \Incoming

Win32:Kapucen-B kopíruje sám sebe do jakéhokoli archivu ZIP nebo RAR z předchozích adresářů jako:

  • Setup.exe
  • Install.exe
  • _Run_Me_First.exe

Infikovaný archiv může být kopírován do jiného adresáře a přejmenován jako:

  • "<archive name> updated-fixed [Month number]-[Day].zip"
  • "<archive name> updated-fixed [Month number]-[Day].rar"

Win32:Kapucen-B následně vytvoří soubor log.txt v aktuálním adresáři a zobrazí následující text uložený v tomto souboru: 

PRE-INSTALL v1.07(C)   

pUcE Software 2006   

Pre-install has checked your config.   

Everything is ok, you can now run the setup program   

Enjoy!

Detekce/Odstranění

Všechny verze programu avast! jsou schopny tento worm detekovat a odstranit, pokud je příslušný datový soubor VPS alespoň z 18. července 2006.

Viry
Viry in the Wild Souhrn z hlášení Windows viry Starší windows viry 2002 Starší windows viry 2001 Starší windows viry 2000 Script viry Macro viry Testovací soubor EICAR Historie VPS
Zasílání informací
informace o standardní VPS
Home pageWeb site mapPrint this pagePrivacy policy
Copyright © 1988 - 2009 ALWIL Software a.s.
Viry  windows viry  Win32:Kapucen-B