Worm/Rbot.SC - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm.Rbot.SC
発見日：	05/08/2005
タイプ	ワーム
感染報告有り	いいえ
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	115.712 バイト
MD5　チェックサム	841bd2641ee5b9b2cebab37f1cb0b86e
VDFファージョン：	6.31.1.66

一般情報 感染方法
   • ローカル・ネットワーク

別名
   • Symantec(シマンテック) W32.Spybot.Worm
   • McAfee(マカフィー) W32/Sdbot.worm.gen
   • Kaspersky(カスペルスキー) Backdoor.Win32.Rbot.gen
   • TrendMicro(トレンドマイクロ） WORM_SPYBOT.AZV
   • Sophos(ソフォス) W32/Rbot-Fam
   • Panda W32/Gaobot.BJY.worm
   • Grisoft IRC/BackDoor.SdBot.74.BP
   • ウイルスバスター Worm.RBot.CCF
   • ビットディフェンダー(Bitdefender)： Worm.Gaobot.BJY

プラットフォーム/OS：
   • ウインドウズ 2000
   • ウインドウズ XP

副作用
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • 情報を盗みます。

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\wvsvc.exe

最初に実行したコピーの方を削除します。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "wvsvc"="wvsvc.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "wvsvc"="wvsvc.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "wvsvc"="wvsvc.exe"

以下のレジストリ・キーが追加されます：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "wvsvc"="wvsvc.exe"

以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Microsoft\Ole]
   前の値
   • "EnableDCOM"="Y"
   新しい値
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   前の値
   • "restrictanonymous"=dword:00000000
   • "restrictanonymoussam"=dword:00000001
   新しい値
   • "restrictanonymous"=dword:00000001
   • "restrictanonymoussam"=dword:00000001

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します：
   • C:$\Windows\System32
   • C:$\WINNT\System32
   • ADMIN$\System32
   • IPC$

リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します：

–キャッシュに入ったユーザ名とパスワード

– 以下のユーザ名：
   • access; admin; administrator; backup; barbara; blank; brian; bruce;
      capitol; cisco; compaq; control; default; domain; exchange; exchnge;
      frank; freddy; george; guest; headoffice; heaven; homeuser; internet;
      internet; intranet; katie; login; nokia; oeminstall; office; orange;
      peter; siemens; spencer; staff; student; student1; susan; teacher;
      technical; turnip; yellow

– 以下のパスワード：
   • 123; 1234; 12346; 123467; 1234678; 12346789; 123467890; accounting;
      accounts; changeme; databasepass; databasepassword; db1234; dbpass;
      dbpassword; default; domain; domainpass; domainpassword;
      domainpassword; hell; hello; loginpass; outlook; pass1234; passwd;
      password; password1; qwerty; server; system; sqlpass; userpassword;
      win2000; win2k; win98; windows; winpass; winnt; winxp

以下のエクスプロイト(Exploit)を利用します：
– MS02-061 (SQL Server Web タスクで権限が昇格する)
– MS03-026 (RPC インターフェイスのバッファオーバーランによりコードが実行される)
– MS04-011 (LSASSの脆弱性)

IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。

感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにTFTPスクリプトを作成します。

処理速度の低下：
– 帯域幅の大きさによって、ネットワーク速度の低下が見られるかもしれません。このマルウェアは回線の利用量が中程度のため、ブロードバンド回線を使って接続している場合、ネットワーク速度の低下に気づかないこともあります。
– さらに、ネットワーク・スレッドをいくつか作成するために起こる速度の低下に気づくかもしれません。

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ real.prof**********.us
ポート： 62173
チャンネル #ra
ニックネーム rF-%ランダムな文字列%

– このマルウェアは以下の情報を収集し送る能力があります：
    • キャッシュに入ったパスワード
    • CPU速度
    • 空きディスク容量
    • 空きメモリ
    • ネットワークについての情報
    • 起動中のプロセスについての情報
    • メモリサイズ
    • ユーザーネーム

– その他以下のアクションを実行することもできます：
    • IRCサーバと接続します。
    • DDoS SYN flood 攻撃を開始します。
    • DDoS TCP flood 攻撃を開始します。
    • DDoS UDP flood 攻撃を開始します。
    • DCOMを無効にする
    • ダウンロード・ファイル
    • レジストリの編集
    • ネットワークシェアを有効にする
    • 実行ファイル
    • IRCチャンネルに入室する
    • プロセスを強制終了する
    • リモートシェルを開く
    • システム再起動
    • メールを送る

バックドア以下のポートが開かれます：

– %SYSDIR%\wvsvc.exe UDPポートに 69 TFTPサーバを作成するため。
– %SYSDIR%\wvsvc.exe 無作為に選ばれたTCPポート上にリモートシェルを準備するため

窃盗以下の情報を盗もうとします：
– ウインドウズ製品のID

– 以下のCDキー：
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White; Call
      of Duty; Chrome; Command and Conquer: Generals; Command and Conquer:
      Generals (Zero Hour); Command and Conquer: Red Alert; Command and
      Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); FarCry; FIFA 2002; FIFA 2003; Freedom Force;
      Global Operations; Ground Control II; Gunman Chronicles; Half-Life;
      Hidden & Dangerous 2; IGI 2: Covert Strike; Industry Giant 2; James
      Bond 007: Nightfire; Joint Operations: Typhoon Rising; Legends of
      Might and Magic; Medal of Honor: Allied Assault; Medal of Honor:
      Allied Assault: Breakthrough; Medal of Honor: Allied Assault:
      Spearhead; Nascar Racing 2002; Nascar Racing 2003; Need For Speed Hot
      Pursuit 2; Need For Speed:Underground; Neverwinter Nights (Hordes of
      the Underdark); Neverwinter Nights (Shadows of Undrentide); NHL 2002;
      NHL 2003; NOX; Rainbow Six III RavenShield; Shogun Total War - Warlord
      Edition; Soldier of Fortune II - Double Helix; Soldiers Of Anarchy;
      The Gladiators; Unreal Tournament 2003; Unreal Tournament 2004

– 以下の文字列と合致するキー入力がされると、ログインを開始します：
   • Admin; advscan; asc; auth; hashin; id; Login; login; pass; PASS; pass;
      PASSWORD; Password; paypal; paypal; paypal.com; scan.all; scan.start;
      scan.startall; secure; start.scan; syn; USER; user

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• ra

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• PE_Patch.Morphine; Morphine; ASPack

簡単な説明はココにあります。.

この説明は Irina Boldea によって Thu, 04 Aug 2005 16:05 (GMT+1) 書き込まれました。
この説明は Oliver Auerbach によって Fri, 19 Aug 2005 22:30 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back