Worm/Gobot.S - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Gobot.S
発見日：	22/11/2005
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	中～高
ダメージ・ポテンシャル	中
スタティック・ファイル	いいえ
ファイル・サイズ	~41.200 バイト
VDFファージョン：	6.26.00.56

一般情報 感染方法
   • ローカル・ネットワーク
   • P2P(ピアツーピア)

別名
   • Kaspersky(カスペルスキー) Backdoor.Win32.Gobot.s
   • TrendMicro(トレンドマイクロ） WORM_GOBOT.S
   • F-Secure(エフ・セキュア) W32/Agobot.AVU
   • Sophos(ソフォス) W32/Gobot-C
   • ビットディフェンダー(Bitdefender)： Backdoor.Gabot.A

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 文字入力を記録します。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %WINDIR%\%ランダムな文字列%.exe

以下のファイルが作成されます：

– %WINDIR%\setup.txt このファイルは入力されたキーについて収集された情報を含みます。

レジストリ再起動後そのプロセスを実行するため、以下の値のうちの１つを追加します：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\%ランダムな文字列%.exe
   • NPROTECT = %WINDIR%\%ランダムな文字列%.exe
   • SMC = %WINDIR%\%ランダムな文字列%.exe
   • NETUTILS = %WINDIR%\%ランダムな文字列%.exe
   • NTXCONFIG = %WINDIR%\%ランダムな文字列%.exe
   • LDNETMON = %WINDIR%\%ランダムな文字列%.exe
   • CONNECTIONMONITOR = %WINDIR%\%ランダムな文字列%.exe
   • NVSVC32 = %WINDIR%\%ランダムな文字列%.exe
   • AVSYNMGR = %WINDIR%\%ランダムな文字列%.exe
   • ERICS = %WINDIR%\%ランダムな文字列%.exe
   • NAVENGNAVEX15 = %WINDIR%\%ランダムな文字列%.exe
   • NAV AUTO-PROTECT = %WINDIR%\%ランダムな文字列%.exe
   • CPDCLNT = %WINDIR%\%ランダムな文字列%.exe
   • MPFSERVICE = %WINDIR%\%ランダムな文字列%.exe
   • MPFTRAY = %WINDIR%\%ランダムな文字列%.exe
   • PORTMONITOR = %WINDIR%\%ランダムな文字列%.exe
   • CPDCLNT = %WINDIR%\%ランダムな文字列%.exe
   • VSHWIN32 = %WINDIR%\%ランダムな文字列%.exe
   • VSECOMR = %WINDIR%\%ランダムな文字列%.exe
   • WEBSCANX = %WINDIR%\%ランダムな文字列%.exe
   • TCMON = %WINDIR%\%ランダムな文字列%.exe
   • ALOGSERV = %WINDIR%\%ランダムな文字列%.exe
   • CMGRDIAN = %WINDIR%\%ランダムな文字列%.exe
   • RULAUNCH = %WINDIR%\%ランダムな文字列%.exe
   • DVP95 = %WINDIR%\%ランダムな文字列%.exe
   • PROCESSMONITOR = %WINDIR%\%ランダムな文字列%.exe
   • FRW = %WINDIR%\%ランダムな文字列%.exe
   • NAVAP = %WINDIR%\%ランダムな文字列%.exe
   • NAVAPW32 = %WINDIR%\%ランダムな文字列%.exe
   • DEFWATCH = %WINDIR%\%ランダムな文字列%.exe
   • GENERICS = %WINDIR%\%ランダムな文字列%.exe
   • NAVAPSVC = %WINDIR%\%ランダムな文字列%.exe
   • NTVDM = %WINDIR%\%ランダムな文字列%.exe
   • NAVWNT = %WINDIR%\%ランダムな文字列%.exe
   • NAVLU32 = %WINDIR%\%ランダムな文字列%.exe
   • LUALL = %WINDIR%\%ランダムな文字列%.exe
   • SWNETSUP = %WINDIR%\%ランダムな文字列%.exe
   • ICLOAD95 = %WINDIR%\%ランダムな文字列%.exe
   • TDS-3 = %WINDIR%\%ランダムな文字列%.exe
   • ICMON = %WINDIR%\%ランダムな文字列%.exe
   • ICSUPP95 = %WINDIR%\%ランダムな文字列%.exe
   • IFACE = %WINDIR%\%ランダムな文字列%.exe
   • ADVXDWIN = %WINDIR%\%ランダムな文字列%.exe
   • PADMIN = %WINDIR%\%ランダムな文字列%.exe
   • RAV7WIN = %WINDIR%\%ランダムな文字列%.exe
   • WATCHDOG = %WINDIR%\%ランダムな文字列%.exe
   • MINILOG = %WINDIR%\%ランダムな文字列%.exe
   • P-WIN = %WINDIR%\%ランダムな文字列%.exe
   • NDD32 = %WINDIR%\%ランダムな文字列%.exe
   • FNRB32 = %WINDIR%\%ランダムな文字列%.exe
   • NMAIN = %WINDIR%\%ランダムな文字列%.exe
   • IAMSERV = %WINDIR%\%ランダムな文字列%.exe
   • NPSCHECK = %WINDIR%\%ランダムな文字列%.exe
   • AGENTW = %WINDIR%\%ランダムな文字列%.exe
   • PERSFW = %WINDIR%\%ランダムな文字列%.exe
   • PERSWF = %WINDIR%\%ランダムな文字列%.exe
   • LOCKDOWN = %WINDIR%\%ランダムな文字列%.exe
   • SPYXX = %WINDIR%\%ランダムな文字列%.exe
   • WEBTRAP = %WINDIR%\%ランダムな文字列%.exe
   • ATCON = %WINDIR%\%ランダムな文字列%.exe
   • NPROTECT = %WINDIR%\%ランダムな文字列%.exe
   • WGFE95 = %WINDIR%\%ランダムな文字列%.exe
   • ZONEALARM = %WINDIR%\%ランダムな文字列%.exe
   • VSMON = %WINDIR%\%ランダムな文字列%.exe
   • AVKSERV = %WINDIR%\%ランダムな文字列%.exe
   • MPFAGENT = %WINDIR%\%ランダムな文字列%.exe
   • MPFSERVICE = %WINDIR%\%ランダムな文字列%.exe
   • MPFTRAY = %WINDIR%\%ランダムな文字列%.exe
   • PORTMONITOR = %WINDIR%\%ランダムな文字列%.exe
   • VSHWIN32 = %WINDIR%\%ランダムな文字列%.exe
   • WEBSCANX = %WINDIR%\%ランダムな文字列%.exe
   • VSSTAT = %WINDIR%\%ランダムな文字列%.exe
   • PCCWIN98 = %WINDIR%\%ランダムな文字列%.exe
   • ATUPDATE = %WINDIR%\%ランダムな文字列%.exe
   • AVCONSOL = %WINDIR%\%ランダムな文字列%.exe
   • NSCHED32 = %WINDIR%\%ランダムな文字列%.exe
   • KAVDOS32 = %WINDIR%\%ランダムな文字列%.exe
   • ESPWATCH = %WINDIR%\%ランダムな文字列%.exe
   • NEOWATCHLOG = %WINDIR%\%ランダムな文字列%.exe
   • AUTOTRACE = %WINDIR%\%ランダムな文字列%.exe
   • AUTODOWN = %WINDIR%\%ランダムな文字列%.exe
   • VETTRAY = %WINDIR%\%ランダムな文字列%.exe
   • SAFEWEB = %WINDIR%\%ランダムな文字列%.exe
   • VSCAN40 = %WINDIR%\%ランダムな文字列%.exe
   • CFIADMIN = %WINDIR%\%ランダムな文字列%.exe
   • LUCOMSERVE = %WINDIR%\%ランダムな文字列%.exe
   • RVE = %WINDIR%\%ランダムな文字列%.exe
   • TFAK = %WINDIR%\%ランダムな文字列%.exe
   • VBCMSERV = %WINDIR%\%ランダムな文字列%.exe
   • NWTOOL16 = %WINDIR%\%ランダムな文字列%.exe
   • AVP32 = %WINDIR%\%ランダムな文字列%.exe
   • ANTI-TROJAN = %WINDIR%\%ランダムな文字列%.exe
   • NWSERVICE = %WINDIR%\%ランダムな文字列%.exe
   • CTRL = %WINDIR%\%ランダムな文字列%.exe
   • NAVNT = %WINDIR%\%ランダムな文字列%.exe
   • AVXMONITORNT = %WINDIR%\%ランダムな文字列%.exe
   • AVPDOS32 = %WINDIR%\%ランダムな文字列%.exe
   • AVPTC32 = %WINDIR%\%ランダムな文字列%.exe

P2P P2P(ピアツーピア)ネットワーク内の他のシステムに感染するため、以下のアクションを実行します：

–   以下のレジストリ・キーを検索することで共有フォルダを見つけます：
   • HKCU\Software\Kazaa\localcontent
   • HKCU\Software\Limewire
   • HKCU\Software\Shareaza
   • HKCU\Software\Morpheus
   • HKCU\Software\Xolox
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\edonkey2000

   成功すると、以下のファイルが作成されます：
   • AIM_Account_Stealer_Crack.exe; AIM_Account_Stealer_Crack.exe;
      AIM_Account_Stealer_Full.exe; AIM_Account_Stealer_Full.exe;
      AIM_Account_Stealer_ISO_Full.exe;
      AIM_Account_Stealer_Key_Generator.exe; AIM_Account_Stealer_Patch.exe;
      AIM_Account_Stealer_Patch.exe; Cat_Attacks_Child_Crack.exe;
      Cat_Attacks_Child_Full.exe; Cat_Attacks_Child_ISO_Full.exe;
      Cat_Attacks_Child_ISO_Full.exe; Cat_Attacks_Child_Key_Generator.exe;
      Cat_Attacks_Child_Key_Generator.exe; Cat_Attacks_Child_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      DSL_Modem_Uncapper_Crack.exe; DSL_Modem_Uncapper_Crack.exe;
      DSL_Modem_Uncapper_Full.exe; DSL_Modem_Uncapper_Full.exe;
      DSL_Modem_Uncapper_ISO_Full.exe; DSL_Modem_Uncapper_ISO_Full.exe;
      DSL_Modem_Uncapper_Key_Generator.exe; DSL_Modem_Uncapper_Patch.exe;
      Hacking_Tool_Collection_Crack.exe; Hacking_Tool_Collection_Crack.exe;
      Hacking_Tool_Collection_Full.exe;
      Hacking_Tool_Collection_ISO_Full.exe;
      Hacking_Tool_Collection_Key_Generator.exe;
      Hacking_Tool_Collection_Patch.exe; Hacking_Tool_Collection_Patch.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Full.exe;
      Internet_and_Computer_Speed_Booster_ISO_Full.exe;
      Internet_and_Computer_Speed_Booster_Key_Generator.exe;
      Internet_and_Computer_Speed_Booster_Patch.exe;
      Macromedia_Flash_5.0_Crack.exe; Macromedia_Flash_5.0_Full.exe;
      Macromedia_Flash_5.0_ISO_Full.exe; Macromedia_Flash_5.0_ISO_Full.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Patch.exe;
      MSN_Password_Hacker_and_Stealer_Crack.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_ISO_Full.exe;
      MSN_Password_Hacker_and_Stealer_Key_Generator.exe;
      MSN_Password_Hacker_and_Stealer_Patch.exe; Windows_XP_Crack.exe;
      Windows_XP_Crack.exe; Windows_XP_Full.exe; Windows_XP_Full.exe;
      Windows_XP_ISO_Full.exe; Windows_XP_Key_Generator.exe;
      Windows_XP_Key_Generator.exe; Windows_XP_Patch.exe;
      ZoneAlarm_Firewall_Crack.exe; ZoneAlarm_Firewall_Full.exe;
      ZoneAlarm_Firewall_ISO_Full.exe; ZoneAlarm_Firewall_Patch.exe;
      ZoneAlarm_Firewall_Patch.exe

   それらのファイルはこのマルウェアのコピーです。

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– マイドゥーム・バックドア(port 3127)

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ 217.160.**********.243
ポート： 6659
チャンネル #GhostBot
ニックネーム %現在のユーザ名%%ランダムにいくつか選ばれた0から9までの数%
パスワード x-bot6659

– このマルウェアは以下の情報を収集し送る能力があります：
    • CPU速度
    • ログインしているユーザ
    • 空きディスク容量
    • 空きメモリ
    • ネットワークについての情報
    • メモリサイズ
    • ユーザーネーム

– その他以下のアクションを実行することもできます：
    • DDoS SYN flood 攻撃を開始します。
    • ダウンロード・ファイル
    • 実行ファイル
    • プロセスを強制終了する
    • プロセスを終了する

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Wed, 23 Nov 2005 10:40 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Thu, 24 Nov 2005 15:38 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back