English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/IRCBot.FV
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/IRCBot.FV - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/IRCBot.FV
発見日:
05/09/2005
タイプ
ワーム
感染報告有り
いいえ
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
197.632 バイト
MD5 チェックサム
33c887fbcd45fe82a0c8acf6a619b9a1
VDFファージョン:
6.31.1.212
一般情報
感染方法
• ローカル・ネットワーク
別名
• Symantec(シマンテック) W32.Spybot.Worm
• Kaspersky(カスペルスキー) Backdoor.Win32.IRCBot.fv
• TrendMicro(トレンドマイクロ) WORM_SDBOT.CDS
• ウイルスバスター Worm.IRCBot.DW
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• ファイルをダウンロードします。
• 文字入力を記録します。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
それ自身のコピーを、表の中のファイル名を使って作成します。
– 宛先:
%SYSDIR%
\ 以下の名前のうちのどれかを利用します:
• isass.exe
• iexplore.exe
• spoolsvc.exe
• firewall.exe
• winIogon.exe
• csrs.exe
最初に実行したコピーの方を削除します。
レジストリ
再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Local Security Authority Service"="
%SYSDIR%
\Isass.exe"
• "Microsoft Internet Explorer"="
%SYSDIR%
\iexplore.exe"
• "Spooler SubSystem App"="
%SYSDIR%
\spoolsvc.exe"
• "Windows Network Firewall"="
%SYSDIR%
\firewall.exe"
• "Windows Logon Application"="
%SYSDIR%
\winIogon.exe"
• "Client Server Runtime Process"="
%SYSDIR%
\csrs.exe"
• "Winamp Agent"="
%SYSDIR%
\winamp.exe"
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
以下のネットワーク・シェアにそれ自身のコピーを作成します:
• print$
• C$\Documents and Settings\All Users\Documents\$
• c$\windows\system32
• c$\shared
• c$\winnt\system32
• admin$
• Admin$\system32
• c$\windows
• c$\winnt
• e$\shared
• d$\shared
リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します:
– 以下のユーザ名:
• staff; teacher; owner; student; intranet; lan; main; office; control;
siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
database; domain; god; backup; technical; mary; katie; kate; george;
eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
user; homeuser; home; internet; www; web; root; server; linux; unix;
computer; adm; admin; admins; administrat; administrateur;
administrador; administrator
– 以下のパスワード:
• winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
databasepassword; databasepass; dbpassword; dbpass; domainpassword;
domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
pass; pass1234; dba; passwd; password; password1; abc
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS04-011
(LSASSの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ b.**********loan.com
ポート: 8080
チャンネル #b
ニックネーム
%8桁のランダムな文字列%
サーバ b.**********loan.com
ポート: 8080
チャンネル #b
ニックネーム
%8桁のランダムな文字列%
– このマルウェアは以下の情報を収集し送る能力があります:
• キャッシュに入ったパスワード
• CPU速度
• 空きディスク容量
• 空きメモリ
• マルウェアの起動時間
• プラットフォームID
• メモリサイズ
– その他以下のアクションを実行することもできます:
• DDoS SYN flood 攻撃を開始します。
• DDoS TCP flood 攻撃を開始します。
• ダウンロード・ファイル
• 実行ファイル
• IRCチャンネルに入室する
• プロセスを強制終了する
• IRCチャンネルを退室する
• リモートシェルを開く
• DDoS攻撃を実行する
• ネットワーク・スキャンの実行
• メールを送る
• 伝染ルーチンの開始
• ファイルをアップロードする
• ウェブサイトを訪問します。
窃盗
以下の情報を盗もうとします:
– 以下のCDキー:
• World Of Warcraft
• Unreal3
• Conquer Online
– 以下のプログラムからのパスワード:
• FlashFXP
• MSN Messenger
• Hotmail
• Outlook
• Outlook Express
– 以下のサブストリングをURLに含むウェブサイトを訪問した後ログインを開始します:
• paypal
• paypal.com
– 取り込むのは:
• キー入力
• ログイン情報
その他
時間調整
ローカルタイムにあわせるために、NTPサーバをポート123につなげます:
• pool.ntp.org
文字列
さらに以下の文字列を含みます:
• rxbot_paradise
• rxbot was here
• rxbot
簡単な説明は
ココ
にあります。.
この説明は Razvan Olteanu によって Tue, 06 Sep 2005 14:08 (GMT+1) 書き込まれました。
この説明は Razvan Olteanu によって Thu, 08 Sep 2005 13:54 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
