Worm/Rbot.81920.9 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Rbot.81920.9
発見日：	14/10/2005
タイプ	ワーム
感染報告有り	いいえ
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	81.920 バイト
MD5　チェックサム	b14db01bf0860d2c57738131fc338b72
VDFファージョン：	6.32.00.16 - Mon, 19 Sep 2005 12:24 (GMT+1)

一般情報 感染方法
   • ローカル・ネットワーク

別名
   • Symantec(シマンテック) W32.Spybot.Worm
   • McAfee(マカフィー) W32/Sdbot.worm.gen.i
   • Kaspersky(カスペルスキー) Backdoor.Win32.Rbot.gen
   • TrendMicro(トレンドマイクロ） WORM_RBOT.CLS
   • ウイルスバスター Worm.RBot.Gen.4
   • ビットディフェンダー(Bitdefender)： Backdoor.RBot.91D40E0C

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • セキュリティの設定を低くします。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\swchost.exe

最初に実行したコピーの方を削除します。

レジストリ以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "winbin"="swchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winbin"="swchost.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "winbin"="swchost.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "winbin"="swchost.exe"

以下のレジストリ・キーが追加されます：

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "winbin"="swchost.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "winbin"="swchost.exe"

– [HKCU\Software\Microsoft\OLE]
   • "winbin"="swchost.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "winbin"="swchost.exe"

以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Microsoft\Ole]
   前の値
   • "EnableDCOM"=%ユーザ設定%
   新しい値
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   前の値
   • "restrictanonymous"=dword:%ユーザ設定%
   新しい値
   • "restrictanonymous"=dword:00000001

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します：
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • IPC$

リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します：

– 以下のユーザ名：
   • adm; admin; administrador; administrat; administrateur; administrator;
      admins; computer; database; dba; default; guest; oracle; owner; staff;
      student; teacher; wwwadmin

– 以下のパスワード：
   • 007; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; accounting; accounts; asd;
      backup; bill; bitch; blank; bob; brian; changeme; chris; cisco;
      compaq; control; data; databasepass; databasepassword; db1; db1234;
      db2; dbpass; dbpassword; dell; demo; domain; domainpass;
      domainpassword; eric; exchange; fred; fuck; george; god; hell; hello;
      home; homeuser; ian; ibm; internet; intranet; jen; joe; john; kate;
      katie; lan; lee; linux; login; loginpass; luke; mail; main; mary;
      mike; neil; nokia; none; null; oem; oeminstall; oemuser; office;
      orainstall; outlook; pass; pass1234; passwd; password; password1;
      peter; pwd; qaz; qwe; qwerty; root; sam; server; sex; siemens; slut;
      sql; sqlpassoainstall; sue; susan; system; technical; test; unix;
      user; web; win2000; win2k; win98; windows; winnt; winpass; winxp; www;
      zxc

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS02-018 (Patch for Internet Information Service)
– MS03-026 (RPC インターフェイスのバッファオーバーランによりコードが実行される)
– MS04-011 (LSASSの脆弱性)

IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。

感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにTFTPかFTPのスクリプトを作成します。

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ ekaf.ddns.me.uk
ポート： 8888
チャンネル #vic0r
ニックネーム [M]pb%8桁のランダムな文字列%

– このマルウェアは以下の情報を収集し送る能力があります：
    • スクリーンを取り込む
    • ウェブカムからショットを取り込む
    • CPU速度
    • ログインしているユーザ
    • 空きディスク容量
    • 空きメモリ
    • マルウェアの起動時間
    • ネットワークについての情報
    • プラットフォームID
    • 起動中のプロセスについての情報
    • メモリサイズ
    • システムディレクトリ

– その他以下のアクションを実行することもできます：
    • DDoS ICMP flood 攻撃を開始します。
    • DDoS SYN flood 攻撃を開始します。
    • DDoS TCP flood 攻撃を開始します。
    • DDoS UDP flood 攻撃を開始します。
    • DCOMを無効にする
    • ネットワークシェアを無効にする
    • ダウンロード・ファイル
    • DCOMを有効にする
    • ネットワークシェアを有効にする
    • 実行ファイル
    • IRCチャンネルに入室する
    • プロセスを強制終了する
    • リモートシェルを開く
    • ネットワーク・スキャンの実行
    • ポート転送を実行する
    • メールを送る
    • 伝染ルーチンの開始
    • マルウェアを終了する
    • それ自身をアップデートします。
    • ウェブサイトを訪問します。

プロセス中断以下のプロセスは終了されます：
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; ACKWIN32.EXE; ADAWARE.EXE;
      ADVXDWIN.EXE; AGENTSVR.EXE; AGENTW.EXE; ALERTSVC.EXE; ALEVIR.EXE;
      ALOGSERV.EXE; AMON9X.EXE; ANTI-TROJAN.EXE; ANTIVIRUS.EXE; ANTS.EXE;
      APIMONITOR.EXE; APLICA32.EXE; APVXDWIN.EXE; ARR.EXE; ATCON.EXE;
      ATGUARD.EXE; ATRO55EN.EXE; ATUPDATER.EXE; ATWATCH.EXE; AU.EXE;
      AUPDATE.EXE; AUTODOWN.EXE; AUTO-PROTECT.NAV80TRY.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; AVCONSOL.EXE; AVE32.EXE; AVGCC32.EXE; AVGCTRL.EXE;
      AVGNT.EXE; AVGSERV.EXE; AVGSERV9.EXE; AVGUARD.EXE; AVGW.EXE;
      AVKPOP.EXE; AVKSERV.EXE; AVKSERVICE.EXE; AVKWCTl9.EXE; AVLTMAIN.EXE;
      AVNT.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPDOS32.EXE; AVPM.EXE;
      AVPTC32.EXE; AVPUPD.EXE; AVSCHED32.EXE; AVSYNMGR.EXE; AVWIN95.EXE;
      AVWINNT.EXE; AVWUPD.EXE; AVWUPD32.EXE; AVWUPSRV.EXE; AVXMONITOR9X.EXE;
      AVXMONITORNT.EXE; AVXQUAR.EXE; BACKWEB.EXE; BARGAINS.EXE; bbeagle.exe;
      BD_PROFESSIONAL.EXE; BEAGLE.EXE; BELT.EXE; BIDEF.EXE; BIDSERVER.EXE;
      BIPCP.EXE; BIPCPEVALSETUP.EXE; BISP.EXE; BLACKD.EXE; BLACKICE.EXE;
      BLSS.EXE; BOOTCONF.EXE; BOOTWARN.EXE; BORG2.EXE; BPC.EXE; BRASIL.EXE;
      BS120.EXE; BUNDLE.EXE; BVT.EXE; CCAPP.EXE; CCEVTMGR.EXE; CCPXYSVC.EXE;
      CDP.EXE; CFD.EXE; CFGWIZ.EXE; CFIADMIN.EXE; CFIAUDIT.EXE; CFINET.EXE;
      CFINET32.EXE; Claw95.EXE; CLAW95CF.EXE; CLEAN.EXE; CLEANER.EXE;
      CLEANER3.EXE; CLEANPC.EXE; CLICK.EXE; CMD32.EXE; CMESYS.EXE;
      CMGRDIAN.EXE; CMON016.EXE; CONNECTIONMONITOR.EXE; CPD.EXE;
      CPF9X206.EXE; CPFNT206.EXE; CTRL.EXE; CV.EXE; CWNB181.EXE;
      CWNTDWMO.EXE; d3dupdate.exe; DATEMANAGER.EXE; DCOMX.EXE; DEFALERT.EXE;
      DEFSCANGUI.EXE; DEFWATCH.EXE; DEPUTY.EXE; DIVX.EXE; DLLCACHE.EXE;
      DLLREG.EXE; DOORS.EXE; DPF.EXE; DPFSETUP.EXE; DPPS2.EXE; DRWATSON.EXE;
      DRWEB32.EXE; DRWEBUPW.EXE; DSSAGENT.EXE; DVP95.EXE; DVP95_0.EXE;
      ECENGINE.EXE; EFPEADM.EXE; EMSW.EXE; ENT.EXE; ESAFE.EXE; ESCANH95.EXE;
      ESCANHNT.EXE; ESCANV95.EXE; ESPWATCH.EXE; ETHEREAL.EXE;
      ETRUSTCIPE.EXE; EVPN.EXE; EXANTIVIRUS-CNET.EXE; EXE.AVXW.EXE;
      EXPERT.EXE; EXPLORE.EXE; F-AGNT95.EXE; F-AGOBOT.EXE; FAMEH32.EXE;
      FAST.EXE; FCH32.EXE; FIH32.EXE; FINDVIRU.EXE; FIREWALL.EXE;
      FLOWPROTECTOR.EXE; FNRB32.EXE; FPROT.EXE; F-PROT.EXE; F-PROT95.EXE;
      FP-WIN.EXE; FP-WIN_TRIAL.EXE; FRW.EXE; FSAA.EXE; FSAV.EXE; FSAV32.EXE;
      FSAV530STBYB.EXE; FSAV530WTBYB.EXE; FSAV95.EXE; FSGK32.EXE; FSM32.EXE;
      FSMA32.EXE; FSMB32.EXE; F-STOPW.EXE; GATOR.EXE; GBMENU.EXE;
      GBPOLL.EXE; GENERICS.EXE; GMT.EXE; GUARD.EXE; GUARDDOG.EXE;
      HACKTRACERSETUP.EXE; HBINST.EXE; HBSRV.EXE; HIJACKTHIS.EXE;
      HOTACTIO.EXE; HOTPATCH.EXE; HTLOG.EXE; HTPATCH.EXE; HWPE.EXE;
      HXDL.EXE; HXIUL.EXE; i11r54n4.exe"; IAMAPP.EXE; IAMSERV.EXE;
      IAMSTATS.EXE; IBMASN.EXE; IBMAVSP.EXE; ICLOAD95.EXE; ICLOADNT.EXE;
      ICMON.EXE; ICSUPP95.EXE; ICSUPPNT.EXE; IDLE.EXE; IEDLL.EXE;
      IEDRIVER.EXE; IEXPLORER.EXE; IFACE.EXE; IFW2000.EXE; INETLNFO.EXE;
      INFUS.EXE; INFWIN.EXE; INIT.EXE; INTDEL.EXE; INTREN.EXE; IOMON98.EXE;
      IPARMOR.EXE; IRIS.EXE; irun4.exe; ISASS.EXE; ISRV95.EXE; ISTSVC.EXE;
      JAMMER.EXE; JDBGMRG.EXE; JEDI.EXE; KAVLITE40ENG.EXE; KAVPERS40ENG.EXE;
      KAVPF.EXE; KAZZA.EXE; KEENVALUE.EXE; KERIO-PF-213-EN-WIN.EXE;
      KERIO-WRL-421-EN-WIN.EXE; KERIO-WRP-421-EN-WIN.EXE; KERNEL32.EXE;
      KILLPROCESSSETUP161.EXE; LAUNCHER.EXE; LDNETMON.EXE; LDPRO.EXE;
      LDPROMENU.EXE; LDSCAN.EXE; LNETINFO.EXE; LOADER.EXE; LOCALNET.EXE;
      LOCKDOWN.EXE; LOCKDOWN2000.EXE; LOOKOUT.EXE; LORDPE.EXE; LSETUP.EXE;
      LUALL.EXE; LUAU.EXE; LUCOMSERVER.EXE; LUINIT.EXE; LUSPT.EXE;
      MAPISVC32.EXE; MCAGENT.EXE; MCMNHDLR.EXE; MCSHIELD.EXE; MCTOOL.EXE;
      MCUPDATE.EXE; MCVSRTE.EXE; MCVSSHLD.EXE; MD.EXE; MFIN32.EXE;
      MFW2EN.EXE; MFWENG3.02D30.EXE; MGAVRTCL.EXE; MGAVRTE.EXE; MGHTML.EXE;
      MGUI.EXE; MINILOG.EXE; MMOD.EXE; MONITOR.EXE; MOOLIVE.EXE; MOSTAT.EXE;
      MPFAGENT.EXE; MPFSERVICE.EXE; MPFTRAY.EXE; MRFLUX.EXE; MSAPP.EXE;
      MSBB.EXE; MSBLAST.EXE; MSCACHE.EXE; MSCCN32.EXE; MSCMAN.EXE;
      MSCONFIG.EXE; mscvb32.exe; MSDM.EXE; MSDOS.EXE; MSIEXEC16.EXE;
      MSINFO32.EXE; MSLAUGH.EXE; MSMGT.EXE; MSMSGRI32.EXE; MSSMMC32.EXE;
      MSSYS.EXE; MSVXD.EXE; MU0311AD.EXE; MWATCH.EXE; N32SCANW.EXE; NAV.EXE;
      NAVAP.NAVAPSVC.EXE; NAVAPSVC.EXE; NAVAPW32.EXE; NAVDX.EXE;
      NAVENGNAVEX15.NAVLU32.EXE; NAVLU32.EXE; NAVNT.EXE; NAVSTUB.EXE;
      NAVW32.EXE; NAVWNT.EXE; NC2000.EXE; NCINST4.EXE; NDD32.EXE;
      NEOMONITOR.EXE; NEOWATCHLOG.EXE; NETARMOR.EXE; NETD32.EXE;
      NETINFO.EXE; NETMON.EXE; NETSCANPRO.EXE; NETSPYHUNTER-1.2.EXE;
      NETSTAT.EXE; NETUTILS.EXE; NISSERV.EXE; NISUM.EXE; NMAIN.EXE;
      NOD32.EXE; NORMIST.EXE; NORTON_INTERNET_SECU_3.0_407.EXE;
      NOTSTART.EXE; NPF40_TW_98_NT_ME_2K.EXE; NPFMESSENGER.EXE;
      NPROTECT.EXE; NPSCHECK.EXE; NPSSVC.EXE; NSCHED32.EXE; NSSYS32.EXE;
      NSTASK32.EXE; NSUPDATE.EXE; NT.EXE; NTRTSCAN.EXE; NTVDM.EXE;
      NTXconfig.EXE; NUI.EXE; NUPGRADE.EXE; NVARCH16.EXE; NVC95.EXE;
      NVSVC32.EXE; NWINST4.EXE; NWSERVICE.EXE; NWTOOL16.EXE; OLLYDBG.EXE;
      ONSRVR.EXE; OPTIMIZE.EXE; OSTRONET.EXE; OTFIX.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; OUTPOSTPROINSTALL.EXE; PADMIN.EXE;
      PandaAVEngine.exe; PANIXK.EXE; PATCH.EXE; PAVCL.EXE; PAVPROXY.EXE;
      PAVSCHED.EXE; PAVW.EXE; PCC2002S902.EXE; PCC2K_76_1436.EXE;
      PCCIOMON.EXE; PCCNTMON.EXE; PCCWIN97.EXE; PCCWIN98.EXE; PCDSETUP.EXE;
      PCFWALLICON.EXE; PCIP10117_0.EXE; PCSCAN.EXE; PDSETUP.EXE; PENIS.EXE;
      Penis32.exe; PERISCOPE.EXE; PERSFW.EXE; PERSWF.EXE; PF2.EXE;
      PFWADMIN.EXE; PGMONITR.EXE; PINGSCAN.EXE; PLATIN.EXE; POP3TRAP.EXE;
      POPROXY.EXE; POPSCAN.EXE; PORTDETECTIVE.EXE; PORTMONITOR.EXE;
      POWERSCAN.EXE; PPINUPDT.EXE; PPTBC.EXE; PPVSTOP.EXE; PRIZESURFER.EXE;
      PRMT.EXE; PRMVR.EXE; PROCDUMP.EXE; PROCESSMONITOR.EXE;
      PROCEXPLORERV1.0.EXE; PROGRAMAUDITOR.EXE; PROPORT.EXE; PROTECTX.EXE;
      PSPF.EXE; PURGE.EXE; PUSSY.EXE; PVIEW95.EXE; QCONSOLE.EXE;
      QSERVER.EXE; RAPAPP.EXE; rate.exe; RAV7.EXE; RAV7WIN.EXE;
      RAV8WIN32ENG.EXE; RAY.EXE; RB32.EXE; RCSYNC.EXE; REALMON.EXE;
      REGED.EXE; REGEDIT.EXE; REGEDT32.EXE; RESCUE.EXE; RESCUE32.EXE;
      RRGUARD.EXE; RSHELL.EXE; RTVSCAN.EXE; RTVSCN95.EXE; RULAUNCH.EXE;
      RUN32DLL.EXE; RUNDLL.EXE; RUNDLL16.EXE; RUXDLL32.EXE; SAFEWEB.EXE;
      SAHAGENT.EXE; SAVE.EXE; SAVENOW.EXE; SBSERV.EXE; SC.EXE; SCAM32.EXE;
      SCAN32.EXE; SCAN95.EXE; SCANPM.EXE; SCRSCAN.EXE; SCRSVR.EXE;
      SCVHOST.EXE; SD.EXE; SERV95.EXE; SERVICE.EXE; SERVLCE.EXE;
      SERVLCES.EXE; SETUP_FLOWPROTECTOR_US.EXE; SETUPVAMEEVAL.EXE; SFC.EXE;
      SGSSFW32.EXE; SH.EXE; SHELLSPYINSTALL.EXE; SHN.EXE; SHOWBEHIND.EXE;
      SMC.EXE; SMS.EXE; SMSS32.EXE; SOAP.EXE; SOFI.EXE; SPERM.EXE; SPF.EXE;
      SPHINX.EXE; SPOLER.EXE; SPOOLCV.EXE; SPOOLSV32.EXE; SPYXX.EXE;
      SREXE.EXE; SRNG.EXE; SS3EDIT.EXE; ssate.exe; SSG_4104.EXE;
      SSGRATE.EXE; ST2.EXE; START.EXE; STCLOADER.EXE; SUPFTRL.EXE;
      SUPPORT.EXE; SUPPORTER5.EXE; SVC.EXE; SVCHOSTC.EXE; SVCHOSTS.EXE;
      SVSHOST.EXE; SWEEP95.EXE; SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE;
      SYMPROXYSVC.EXE; SYMTRAY.EXE; SYSEDIT.EXE; sysinfo.exe; SysMonXP.exe;
      SYSTEM.EXE; SYSTEM32.EXE; SYSUPD.EXE; TASKMG.EXE; TASKMO.EXE;
      TASKMON.EXE; TAUMON.EXE; TBSCAN.EXE; TC.EXE; TCA.EXE; TCM.EXE;
      TDS2-98.EXE; TDS2-NT.EXE; TDS-3.EXE; TEEKIDS.EXE; TFAK.EXE; TFAK5.EXE;
      TGBOB.EXE; TITANIN.EXE; TITANINXP.EXE; TRACERT.EXE; TRICKLER.EXE;
      TRJSCAN.EXE; TRJSETUP.EXE; TROJANTRAP3.EXE; TSADBOT.EXE; TVMD.EXE;
      TVTMD.EXE; UNDOBOOT.EXE; UPDAT.EXE; UPDATE.EXE; UPGRAD.EXE;
      UTPOST.EXE; VBCMSERV.EXE; VBCONS.EXE; VBUST.EXE; VBWIN9X.EXE;
      VBWINNTW.EXE; VCSETUP.EXE; VET32.EXE; VET95.EXE; VETTRAY.EXE;
      VFSETUP.EXE; VIR-HELP.EXE; VIRUSMDPERSONALFIREWALL.EXE; VNLAN300.EXE;
      VNPC3000.EXE; VPC32.EXE; VPC42.EXE; VPFW30S.EXE; VPTRAY.EXE;
      VSCAN40.EXE; VSCENU6.02D30.EXE; VSCHED.EXE; VSECOMR.EXE; VSHWIN32.EXE;
      VSISETUP.EXE; VSMAIN.EXE; VSMON.EXE; VSSTAT.EXE; VSWIN9XE.EXE;
      VSWINNTSE.EXE; VSWINPERSE.EXE; W32DSM89.EXE; W9X.EXE; WATCHDOG.EXE;
      WEBDAV.EXE; WEBSCANX.EXE; WEBTRAP.EXE; WFINDV32.EXE; WGFE95.EXE;
      WHOSWATCHINGME.EXE; WIMMUN32.EXE; WIN32.EXE; WIN32US.EXE;
      WINACTIVE.EXE; WIN-BUGSFIX.EXE; WINDOW.EXE; WINDOWS.EXE; WININETD.EXE;
      WININIT.EXE; WININITX.EXE; WINLOGIN.EXE; WINMAIN.EXE; WINNET.EXE;
      WINPPR32.EXE; WINRECON.EXE; WINSERVN.EXE; WINSSK32.EXE; WINSTART.EXE;
      WINSTART001.EXE; winsys.exe; WINTSK32.EXE; winupd.exe; WINUPDATE.EXE;
      WKUFIND.EXE; WNAD.EXE; WNT.EXE; WRADMIN.EXE; WRCTRL.EXE; WSBGATE.EXE;
      WUPDATER.EXE; WUPDT.EXE; WYVERNWORKSFIREWALL.EXE; XPF202EN.EXE;
      ZAPRO.EXE; ZAPSETUP3001.EXE; ZATUTOR.EXE; ZONALM2601.EXE;
      ZONEALARM.EXE

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• SKY2K4

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Iulia Diaconescu によって Mon, 17 Oct 2005 09:02 (GMT+1) 書き込まれました。
この説明は Iulia Diaconescu によって Thu, 20 Oct 2005 17:40 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る