Worm/RBot.72262 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/RBot.72262
発見日：	30/08/2005
タイプ	ワーム
感染報告有り	いいえ
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	72,262 バイト
MD5　チェックサム	5378ccf46e1f5843d8cc1317452f8c39
VDFファージョン：	6.30.0.222

一般情報 感染方法
   • ローカル・ネットワーク

別名
   • Symantec(シマンテック) W32.Spybot.Worm
   • McAfee(マカフィー) W32/Sdbot.worm.gen.l
   • Kaspersky(カスペルスキー) Backdoor.Win32.Rbot.gen
   • TrendMicro(トレンドマイクロ） WORM_RBOT.BIQ
   • Sophos(ソフォス) W32/Rbot-ADV
   • ウイルスバスター Worm.Rbot.BRI
   • ビットディフェンダー(Bitdefender)： Backdoor.Rbot.JB

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • セキュリティの設定を低くします。
   • 文字入力を記録します。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %sysdir%\SystemDll.exe

最初に実行したコピーの方を削除します。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft DLL Extensions"="SystemDll.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft DLL Extensions"="SystemDll.exe"

以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft DLL Extensions"="SystemDll.exe"

以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Microsoft\Ole]
   前の値
   • %ユーザ設定%
   新しい値
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   前の値
   • %ユーザ設定%
   新しい値
   • "restrictanonymous"=dword:00000001

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します：
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32

リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します：

– 以下のユーザ名：
   • adm; db2; oracle; dba; database; default; guest; wwwadmin; teacher;
      student; owner; computer; staff; admins; administrat; administrateur;
      administrador; administrator

– 以下のパスワード：
   • intranet; lan; main; winpass; blank; office; control; nokia; siemens;
      compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql; db1234;
      db1; domain; hello; hell; god; sex; slut; bitch; fuck; exchange;
      backup; technical; loginpass; login; mary; katie; kate; george; eric;
      chris; ian; neil; lee; brian; susan; sue; sam; luke; peter; john;
      mike; bill; fred; joe; jen; bob; qwe; zxc; asd; qaz; win2000; winnt;
      winxp; win2k; win98; windows; oeminstall; oemuser; oem; user;
      homeuser; home; accounting; accounts; internet; www; web; outlook;
      mail; qwerty; null; server; system; changeme; linux; unix; demo; none;
      test; 2004; 2003; 2002; 2001; 2000; 1234567890; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123; 007; databasepassword; data;
      databasepass; dbpassword; dbpass; access; domainpassword; domainpass;
      pwd; pass; pass1234; passwd; password; password1

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS03-026 (RPC インターフェイスのバッファオーバーランによりコードが実行される)

IPアドレス作成
ランダムなIPアドレスを作り、それらと接続しようとします。

感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにTFTPスクリプトを作成します。

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ sql.**********ggazpwn.net
ポート： 4447
チャンネル #MSNOWN#
ニックネーム USA|<%5桁のランダムな文字列%>
パスワード durty

サーバ www.**********age.net
ポート： 4447
チャンネル #MSNOWN#
ニックネーム USA|<%5桁のランダムな文字列%>
パスワード durty

サーバ unknown.**********net.net
ポート： 4447
チャンネル #MSNOWN#
ニックネーム USA|<%5桁のランダムな文字列%>
パスワード durty

– このマルウェアは以下の情報を収集し送る能力があります：
    • スクリーンを取り込む
    • ウェブカムからショットを取り込む
    • ログインしているユーザ
    • 空きディスク容量
    • 空きメモリ
    • マルウェアの起動時間
    • ネットワークについての情報
    • 起動中のプロセスについての情報
    • ユーザーネーム
    • ユーザーのローカル活動

– その他以下のアクションを実行することもできます：
    • DDoS ICMP flood 攻撃を開始します。
    • DDoS SYN flood 攻撃を開始します。
    • DDoS TCP flood 攻撃を開始します。
    • DDoS UDP flood 攻撃を開始します。
    • DCOMを無効にする
    • ネットワークシェアを無効にする
    • DCOMを有効にする
    • ネットワークシェアを有効にする
    • 実行ファイル
    • プロセスを強制終了する
    • リモートシェルを開く
    • DDoS攻撃を実行する
    • ネットワーク・スキャンの実行
    • システム再起動
    • メールを送る
    • システムをシャットダウンする
    • 伝染ルーチンの開始
    • プロセスを終了する
    • それ自身をアップデートします。
    • ファイルをアップロードする

プロセス中断以下のプロセスは終了されます：
   • i11r54n4.exe; irun4.exe; d3dupdate.exe; rate.exe; ssate.exe;
      winsys.exe; winupd.exe; SysMonXP.exe; bbeagle.exe; Penis32.exe;
      teekids.exe; MSBLAST.exe; mscvb32.exe; sysinfo.exe; PandaAVEngine.exe;
      wincfg32.exetaskmon.exe; zonealarm.exe; navapw32.exe; navw32.exe;
      zapro.exe; msblast.exe; netstat.exe; msconfig.exe; regedit.exe

窃盗以下の情報を盗もうとします：

– 以下のCDキー：
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Red Alert; Command and Conquer:
      Tiberian Sun; Rainbow Six III RavenShield; Nascar Racing 2003; Nascar
      Racing 2002; NHL 2003; NHL 2002; FIFA 2003; FIFA 2002; Shogun: Total
      War: Warlord Edition; Need For Speed: Underground; Need For Speed Hot
      Pursuit 2; Medal of Honor: Allied Assault: Spearhead; Medal of Honor:
      Allied Assault: Breakthrough; Medal of Honor: Allied Assault; Global
      Operations; Command and Conquer: Generals; James Bond 007: Nightfire;
      Command and Conquer: Generals (Zero Hour); Black and White;
      Battlefield Vietnam; Battlefield 1942 (Secret Weapons of WWII);
      Battlefield 1942 (Road To Rome); Battlefield 1942; Freedom Force; IGI
      2: Covert Strike; Unreal Tournament 2004; Unreal Tournament 2003;
      Soldiers Of Anarchy; Legends of Might and Magic; Industry Giant 2;
      Half-Life; Gunman Chronicles; The Gladiators; Counter-Strike (Retail)

– 以下のサブストリングをURLに含むウェブサイトを訪問した後ログインを開始します：
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– 取り込むのは：
    • ログイン情報

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• Susie091

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Iulia Diaconescu によって Wed, 31 Aug 2005 10:16 (GMT+1) 書き込まれました。
この説明は Iulia Diaconescu によって Mon, 19 Sep 2005 14:27 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back