Worm/Rbot.79872.3 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Rbot.79872.3
発見日：	07/09/2005
タイプ	ワーム
感染報告有り	いいえ
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	79.872 バイト
MD5　チェックサム	b194501e863d4007caccaa682e607aed
VDFファージョン：	6.31.1.216

一般情報 感染方法
   • ローカル・ネットワーク
   • 割り当てられたネットワーク・ドライブ

別名
   • ウイルスバスター Worm.RBot.CJK
   • ビットディフェンダー(Bitdefender)： Backdoor.RBot.B4FF80F8

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ 2000
   • ウインドウズ XP

副作用
   • それ自身のメール・エンジンを利用します。
   • セキュリティの設定を低くします。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\google.exe

最初に実行したコピーの方を削除します。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "google"="google.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "google"="google.exe"

以下のレジストリ・キーは変更されます：

– HKLM\SOFTWARE\Microsoft\Ole
   前の値
   • "EnableDCOM"="%ユーザ設定%"
   新しい値
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   前の値
   • "restrictanonymous"=%ユーザ設定%
     "restrictanonymoussam"=%ユーザ設定%
   新しい値
   • "restrictanonymous"=dword:00000001
     "restrictanonymoussam"=dword:00000001

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します：
   • C$
   • D$"
   • ADMIN$
   • IPC$

リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します：

–キャッシュに入ったユーザ名とパスワード

– 以下のユーザ名：
   • accounting; accounts; admin; administrador; administrat;
      administrateur; administrator; admins; bill; bob; brian; chris;
      computer; eric; fred; george; guest; home; homeuser; ian; internet;
      jen; joe; john; kate; katie; lee; luke; mary; mike; neil; oem;
      oeminstall; oemuser; owner; peter; root; sam; staff; student; sue;
      susan; teacher; user; wwwadmin

– 以下のパスワード：
   • 7; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; accounting; accounts; adm;
      asd; backup; bitch; blank; changeme; cisco; compaq; control; data;
      database; databasepass; databasepassword; db1; db1234; db2; dba;
      dbpass; dbpassword; default; dell; demo; domain; domainpass;
      domainpassword; exchange; fuck; god; hell; hello; ibm; internet;
      intranet; lan; linux; login; loginpass; mail; main; nokia; none; null;
      office; oracle; orainstall; outlook; pass; pass1234; passwd; password;
      password1; pwd; qaz; qwe; qwerty; server; sex; siemens; slut; sql;
      sqlpassoainstall; system; technical; test; unix; web; win2000; win2k;
      win98; windows; winnt; winpass; winxp; www; zxc

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS02-061 (SQL Server Web タスクで権限が昇格する)
– MS04-007 (ASN .1 の脆弱性により、コードが実行される)
– MS04-011 (LSASSの脆弱性)
– MS05-039 (プラグ・アンド・プレイの脆弱性)

IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。

感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにTFTPかFTPのスクリプトを作成します。
それは、感染した元のコンピュータから侵入先のコンピュータにマルウェアをダウンロードするよう命令を出します。

処理速度の低下：
–感染スレッドをいくつか作成します。
– 帯域幅の大きさによって、ネットワーク速度の低下が見られるかもしれません。このマルウェアは回線の利用量が中程度のため、ブロードバンド回線を使って接続している場合、ネットワーク速度の低下に気づかないこともあります。
– さらに、ネットワーク・スレッドをいくつか作成するために起こる速度の低下に気づくかもしれません。

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ disclosure**********.server.us
ポート： 40000
チャンネル #support
ニックネーム [XP]|%random characters string%
パスワード server

– このマルウェアは以下の情報を収集し送る能力があります：
    • キャッシュに入ったパスワード
    • CPU速度
    • ログインしているユーザ
    • 空きディスク容量
    • 空きメモリ
    • マルウェアの起動時間
    • ネットワークについての情報
    • 起動中のプロセスについての情報
    • メモリサイズ
    • ユーザーネーム

– その他以下のアクションを実行することもできます：
    • IRCサーバと接続します。
    • DDoS ICMP flood 攻撃を開始します。
    • DDoS SYN flood 攻撃を開始します。
    • DDoS TCP flood 攻撃を開始します。
    • DDoS UDP flood 攻撃を開始します。
    • DCOMを無効にする
    • ネットワークシェアを無効にする
    • IRCサーバとの接続を終了します。
    • ダウンロード・ファイル
    • レジストリの編集
    • ネットワークシェアを有効にする
    • 実行ファイル
    • IRCチャンネルに入室する
    • IRCチャンネルを退室する
    • リモートシェルを開く
    • DDoS攻撃を実行する
    • ネットワーク・スキャンの実行
    • システム再起動
    • メールを送る
    • 伝染ルーチンの開始
    • プロセスを終了する
    • それ自身をアップデートします。

バックドア以下のポートが開かれます：

– %SYSDIR%\google.exe TCPポートに 25000 FTPサーバを供給するため
– %SYSDIR%\google.exe UDPポートに 89 TFTPサーバを作成するため。

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• afffff

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • UPack;
   • ASPack;
   • PE_Patch.Upolyx;
   • UPX

簡単な説明はココにあります。.

この説明は Irina Boldea によって Wed, 07 Sep 2005 10:57 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Thu, 08 Sep 2005 12:08 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back