PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Rbot.78808
発見日:21/11/2005
タイプワーム
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ78.808 バイト
MD5 チェックサムb68e656d8281c44c1c04f3a1c8ad3cf4
VDFファージョン:6.32.00.202

 一般情報 感染方法
   • ローカル・ネットワーク


別名
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.DAQ
   •  F-Secure: Backdoor.Win32.Rbot.gen
   •  Sophos: W32/Rbot-Fam
   •  Panda W32/Gaobot.LJN.worm
   •  VirusBuster: Worm.RBot.DAY
   •  Eset Win32/Rbot
   •  Bitdefender: Backdoor.Rbot.CPQ


プラットフォーム/OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 文字入力を記録します。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • サード・パーティ・コントロール

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\svchsot.exe



最初に実行したコピーの方を削除します。

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "MicroSft Personal Firewall"="svchsot.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "MicroSft Personal Firewall"="svchsot.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "MicroSft Personal Firewall"="svchsot.exe"



以下のレジストリ・キーは変更されます:

– HKLM\SOFTWARE\Microsoft\Ole
   前の値
   • "EnableDCOM"=%ユーザ設定%
   新しい値
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   前の値
   • "restrictanonymous"=%ユーザ設定%
   新しい値
   • "restrictanonymous"=dword:00000001

 ネットワーク感染 感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します:
   • IPC$
   • C$
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$


リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します:

–キャッシュに入ったユーザ名とパスワード

– ユーザ名とパスワードの表:
   • intranet; lan; main; winpass; blank; office; control; nokia; siemens;
      compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql; db1234;
      db1; databasepassword; data; databasepass; dbpassword; dbpass; access;
      domainpassword; domainpass; domain; hello; hell; god; sex; slut;
      bitch; fuck; exchange; backup; technical; loginpass; login; mary;
      katie; kate; george; eric; chris; ian; neil; lee; brian; susan; sue;
      sam; luke; peter; john; mike; bill; fred; joe; jen; bob; qwe; zxc;
      asd; qaz; win2000; winnt; winxp; win2k; win98; windows; oeminstall;
      oemuser; oem; user; homeuser; home; accounting; accounts; internet;
      www; web; outlook; mail; qwerty; null; server; system; changeme;
      linux; unix; demo; none; test; 2004; 2003; 2002; 2001; 2000;
      1234567890; 123456789; 12345678; 1234567; 123456; 12345; 1234; 123;
      007; pwd; pass; pass1234; passwd; password; password1; adm; db2;
      oracle; dba; database; default; guest; wwwadmin; teacher; student;
      owner; computer; staff; admins; administrat; administrateur;
      administrador; administrator



エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
– MS03-026 (RPC インターフェイスのバッファ オーバーランによりコードが実行される)
– MS03-039 (RPCSS サービス のバッファ オーバーランによりコードが実行される (824146))
– MS04-011 (LSASSの脆弱性)


IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。


感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにTFTPかFTPのスクリプトを作成します。


リモート実行:
–新しく感染したマシンに、マルウェアのリモート実行を開始しようとします。そのため、NetScheduleJobAdd機能を利用します。

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ unixguy.hack**********
ポート: 8877
サーバ・パスワード guy
チャンネル #LLiFee#
ニックネーム USA| %6桁のランダムな文字列%
パスワード guy



– このマルウェアは以下の情報を収集し送る能力があります:
    • スクリーンを取り込む
    • ウェブカムからショットを取り込む
    • CPU速度
    • ログインしているユーザ
    • ドライバの詳細
    • 空きディスク容量
    • 空きメモリ
    • ネットワークについての情報
    • 起動中のプロセスについての情報
    • メモリサイズ
    • システムディレクトリ
    • ユーザーネーム
    • ウインドウズOSについての情報


– その他以下のアクションを実行することもできます:
    • DDoS ICMP flood 攻撃を開始します。
    • DDoS SYN flood 攻撃を開始します。
    • DDoS TCP flood 攻撃を開始します。
    • DDoS UDP flood 攻撃を開始します。
    • DCOMを無効にする
    • ネットワークシェアを無効にする
    • ダウンロード・ファイル
    • DCOMを有効にする
    • ネットワークシェアを有効にする
    • 実行ファイル
    • プロセスを強制終了する
    • リモートシェルを開く
    • DDoS攻撃を実行する
    • ネットワーク・スキャンの実行
    • ポート転送を実行する
    • サービスの登録
    • システム再起動
    • メールを送る
    • キーログの開始
    • 伝染ルーチンの開始
    • マルウェアを終了する
    • プロセスを終了する
    • それ自身をアップデートします。
    • ファイルをアップロードする
    • ウェブサイトを訪問します。

 窃盗 以下の情報を盗もうとします:
– ウインドウズ製品のID

– 以下のCDキー:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); Chrome; FIFA 2002; FIFA 2003; Freedom Force;
      Global Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2;
      IGI 2: Covert Strike; Industry Giant 2; James Bond 007: Nightfire;
      Legends of Might and Magic; Medal of Honor: Allied Assault; Medal of
      Honor: Allied Assault: Breakthrough; Medal of Honor: Allied Assault:
      Spearhead; Nascar Racing 2002; Nascar Racing 2003; Need For Speed Hot
      Pursuit 2; Need For Speed: Underground; Neverwinter Nights;
      Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); NHL 2003; NHL 2002; NOX; Rainbow Six III
      RavenShield; Shogun: Total War: Warlord Edition; Soldier of Fortune II
      - Double Helix; Soldiers Of Anarchy; The Gladiators; Unreal Tournament
      2003; Unreal Tournament 2004

– 以下の文字列をチェックするネットワーク・スニファーを利用します。
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :*login; :-login; :+login; :/login; :\login; :=login; :?login;
      :'login; :`login; :~login; : login; :.auth; :,auth; :!auth; :@auth;
      :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth; :/auth;
      :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id; :,id;
      :!id; :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id; :\id;
      :=id; :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin; :$hashin;
      :%hashin; :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x; :$x; :%x;
      :.syn; :!syn; :$syn; :%syn

– 以下のサブストリングをURLに含むウェブサイトを訪問した後ログインを開始します:
   • paypal.com
   • PAYPAL.com

– 取り込むのは:
    • キー入力
    • ログイン情報

 その他 Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • BoT

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Irina Boldea の 2006年4月6日木曜日
説明の更新者 Irina Boldea の 2006年4月19日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。