PCの修理が必要ですか?
専門家に頼む
????Worm/RBot.328262
????08/07/2005
??????
?????????
?????
???????
????????????
?????????????
????????558.080 ???
MD5???????a36bf2770D4763d8f53ae224d9bcfb57
VDF???????6.31.0.172

 ???? ????
   • ???????????


??
   •  Sophos: W32/Tilebot-HD


????????/OS?
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


???
   • ?????????
   • ??????????????
   • ???????????????

 ???? ??????????????????
   • %WINDIR%\lsass.exe



???????????????
%SYSDIR%\ftp.exe
%SYSDIR%\tftp.exe



???????????????????

 ????? ??????????????????????????????????????????

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="Spool SubSystem App"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Spool SubSystem App"



???????????????????

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Security
   • "Security"=%hex value%

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Enum
   • "0"="Root\\LEGACY_SPOOL_SUBSYSTEM_APP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000
   • "Service"="Spool SubSystem App"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Spool SubSystem App"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Spool SubSystem App"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "windns"=%?????????????????%\%??????%

 ???????? ???????????????????????????????????????????

?????????????????????????????
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


???????(Exploit)
??????????(Exploit)???????
– MS02-061 (SQL Server Web ???????????)
– MS03-026 (RPC ????????????? ??????????????????)
– MS03-049 (Workstation ????????? ??????????????????? (828749))
– MS04-007 (ASN .1 ?????????????????)
– MS04-011 (LSASS????)


??????
????????????????????????????????????FTP????????????


???????
????????????????????????????????????????NetScheduleJobAdd?????????

 IRC ?????????????????????????????????IRC??????????

??? mail2.tik**********
???? 9632;7412
????? #z#
?????? [P00|USA|%8??????????%]
????? m00



 ???????????????????????????
    • CPU??
    • ???????????
    • ????????
    • ?????
    • ??????????
    • ?????????????
    • ???????????????
    • ??????
    • ??????OS???????


 ????????????????????????
     DDoS ICMP flood ?????????
     DDoS SYN flood ?????????
     DDoS UDP flood ?????????
    • ???????????????
    • ???????????
    • ????????
    • ???????????????
    • ??????
    • ???????????
    • ??????????
    • DDoS???????
     ??????????????
    • ??????????
    • ??????????
     ???????????????

 ????? ??????????
??????
   • htp://www.littleworld.pe.kr/**********

???PHP?????????HTTP GET????????????????

 ??(Injection) –  ???????????????????? %SYSDIR%\sfc_os.dll

    ??????????????
   • %SYSDIR%\winlogon.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\spoolsv.exe


 ??? Mutex(??????)
???Mutex(??????????????
   • w7p5h9e5k7x5


??????????
??????????????????
   • \\.\NTICE



?????????
??????????????tcpip.sys????????????????????????????????????????????
(WFP)??????????sfc_os.dll ?????????????0000E2B8??????????? ??WFP?DLL?????????????????????? ????????

 ??????? ???????:
?????????????MS Visual C++?????????


??????????
??????????????????????????????????????????????????

説明の挿入者 Bogdan Iliuta の 2006年10月13日金曜日
説明の更新者 Andrei Gherman の 2006年11月21日火曜日

戻る . . . .
https:// このウィンドウは暗号化されています。