English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/IRCBot.FU
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/IRCBot.FU - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/IRCBot.FU
発見日:
06/09/2005
タイプ
ワーム
感染報告有り
いいえ
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
197.632 バイト
MD5 チェックサム
dace533a43e910fa460159247b8fb8ec
VDFファージョン:
6.31.1.210
一般情報
感染方法
• ローカル・ネットワーク
別名
• Kaspersky(カスペルスキー) Backdoor.Win32.IRCBot.fu
• TrendMicro(トレンドマイクロ) BKDR_IRCBOT.AQ
• ウイルスバスター Worm.IRCBot.DU
• ビットディフェンダー(Bitdefender): Backdoor.IRCBot.FU
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• 悪意ファイルを作成します。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
それ自身のコピーを、表の中のファイル名を使って作成します。
– 宛先:
%SYSDIR%
以下の名前のうちのどれかを利用します:
• logon.exe
• firewall.exe
• algs.exe
• explorer.exe
• Isass.exe
• iexplore.exe
• spoolsvc.exe
• winamp.exe
• csrs.exe
最初に実行したコピーの方を削除します。
以下のファイルが作成されます:
–
%SYSDIR%
\aspr_keys.ini
–
%実行されたマルウェアのディレクトリ%
\aspr_keys.ini
–
%実行されたマルウェアのディレクトリ%
\
%ランダムな文字列%
.bat 作成が完了した後、起動されます。 このバッチ・ファイルはファイルを削除するのに使われます。
レジストリ
再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Windows Logon Application"="
%SYSDIR%
\logon.exe"
• "Application Layer Gateway Service"="
%SYSDIR%
\algs.exe"
• "Windows Explorer"="
%SYSDIR%
\explorer.exe"
• "Local Security Authority Service"="
%SYSDIR%
\Isass.exe"
• "Microsoft Internet Explorer"="
%SYSDIR%
\iexplore.exe"
• "Spooler SubSystem App"="
%SYSDIR%
\spoolsvc.exe"
• "Winamp Agent"="
%SYSDIR%
\winamp.exe"
• "Client Server Runtime Process"="
%SYSDIR%
\csrs.exe"
• "Windows Network Firewall"="
%SYSDIR%
\firewall.exe"
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
以下のネットワーク・シェアにそれ自身のコピーを作成します:
• c$\windows
• c$\winnt
• d$\shared
• e$\shared
• print$
• IPC$
• admin$
• admin$\system32
リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します:
–キャッシュに入ったユーザ名とパスワード
– 以下のユーザ名:
• "staff"; "teacher"; "owner"; "student"; "intranet"; "lan"; "main";
"office"; "control"; "siemens"; "compaq"; "dell"; "cisco"; "ibm";
"oracle"; "sql"; "data"; "access"; "database"; "domain"; "god";
"backup"; "technical"; "mary"; "katie"; "kate"; "george"; "eric";
"none"; "guest"; "chris"; "ian"; "neil"; "lee"; "brian"; "susan";
"sue"; "sam"; "luke"; "peter"; "john"; "mike"; "bill"; "fred"; "joe";
"jen"; "bob"; "wwwadmin"; "oemuser"; "user"; "homeuser"; "home";
"internet"; "www"; "web"; "root"; "server"; "linux"; "unix";
"computer"; "adm"; "admin"; "admins"; "administrat"; "administrateur";
"administrador"; "administrator"
– 以下のパスワード:
• "winpass"; "blank"; "nokia"; "orainstall"; "sqlpassoainstall";
"db1234"; "db2"; "db1"; "databasepassword"; "databasepass";
"dbpassword"; "dbpass"; "domainpassword"; "domainpass"; "hello";
"hell"; "love"; "money"; "slut"; "bitch"; "fuck"; "exchange";
"loginpass"; "login"; "qwe"; "zxc"; "asd"; "qaz"; "win2000"; "winnt";
"winxp"; "win2k"; "win98"; "windows"; "oeminstall"; "oem";
"accounting"; "accounts"; "letmein"; "sex"; "outlook"; "mail";
"qwerty"; "temp123"; "temp"; "null"; "default"; "changeme"; "demo";
"test"; "2005"; "2004"; "2001"; "secret"; "payday"; "deadline";
"work"; "1234567890"; "123456789"; "12345678"; "1234567"; "123456";
"12345"; "1234"; "123"; "007"; "pwd"; "pass"; "pass1234"; "dba";
"passwd"; "password"; "password1"; "abc"
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS03-007
(Windows コンポーネントの未チェックのバッファにより、Web サーバーが侵害される)
–
MS03-026
(RPC インターフェイスのバッファ オーバーランによりコードが実行される)
–
MS04-007
(ASN .1 の脆弱性により、コードが実行される)
–
MS04-011
(LSASSの脆弱性)
–
MS05-039
(プラグ・アンド・プレイの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにTFTPかFTPのスクリプトを作成します。
IRC
サーバ **********.149.54
ポート: 5111
チャンネル #sluts
ニックネーム
%8桁のランダムな文字列%
– このマルウェアは以下の情報を収集し送る能力があります:
• CPU速度
• ログインしているユーザ
• 空きディスク容量
• 空きメモリ
• マルウェアの起動時間
• ネットワークについての情報
• プラットフォームID
• 起動中のプロセスについての情報
• メモリサイズ
• ユーザーネーム
– その他以下のアクションを実行することもできます:
• ダウンロード・ファイル
• 実行ファイル
• DDoS攻撃を実行する
• ファイルをアップロードする
窃盗
以下の情報を盗もうとします:
– 以下のプログラムからのパスワード:
• MSN Messenger
• Outlook Express
• World Of Warcraft
• Unreal3
• Steam
• Conquer Online
– 以下の文字列と合致するキー入力がされると、ログインを開始します:
• "irc operator"; "paypal"; "paypal.com"; "cd key"; "cd-key"; "cdkey";
"passwort"; "auth "; "sxt "; "login "; "pw="; "pass="; "login=";
"password="; "username="; "passwd="; "auth"; "identify"; "oper";
"MailPass"; "pass"; "unknown"; "user"
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• 25b30ddc0bd83e53a3935a2b5608f03d44f7
文字列
さらに以下の文字列を含みます:
• "rxbot_paradise"
• "rxbot was here"
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• AS Protect 1.2
簡単な説明は
ココ
にあります。.
この説明は Catalin Jora によって Tue, 06 Sep 2005 13:36 (GMT+1) 書き込まれました。
この説明は Catalin Jora によって Thu, 08 Sep 2005 11:40 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
