English
Deutsch
Español
Italian
Home
Virus Info
Worm/Wootbot.69120
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Wootbot.69120 - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Wootbot.69120
発見日:
27/02/2006
タイプ
ワーム
感染報告有り
いいえ
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
69.120 バイト
MD5 チェックサム
9c45675530bcdb29c236e8e552a21861
VDFファージョン:
6.33.01.33
一般情報
感染方法
• ローカル・ネットワーク
別名
• TrendMicro(トレンドマイクロ) WORM_AGOBOT.BAV
• ビットディフェンダー(Bitdefender): Backdoor.SDBot.801370DB
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• レジストリの改変。
• ソフトの脆弱性を利用します。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\winlogins.exe
最初に実行したコピーの方を削除します。
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Windows Logon Autorun = winlogins.exe
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
• Windows Logon Autorun = winlogins.exe
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Windows Logon Autorun = winlogins.exe
– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
• Windows Logon Autorun = winlogins.exe
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• Windows Logon Autorun = winlogins.exe
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– [HKLM\SYSTEM\CurrentControlSet\Services\win]
• Type = dword:00000020
• Start = dword:00000004
• ErrorControl = dword:00000001
• ImagePath = "
%SYSDIR%
\winlogins.exe" -netsvcs
• DisplayName = Windows Logon Autorun
• ObjectName = LocalSystem
• FailureActions =
%hex値%
• DeleteFlag = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Services\win\Security]
• Security =
%hex値%
– [HKLM\SYSTEM\CurrentControlSet\Services\win\Enum]
• 0 = Root\\LEGACY_WIN\\0000
• Count = dword:00000001
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN]
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN\0000]
• Service = win
• Legacy = dword:00000001
• ConfigFlags = dword:00000000
• Class = LegacyDriver
• ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
• DeviceDesc = Windows Logon Autorun
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN\0000\Control]
• *NewlyCreated* = dword:00000000
• ActiveService = win
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS04-007
(ASN .1 の脆弱性により、コードが実行される)
–
MS04-011
(LSASSの脆弱性)
–
MS05-039
(プラグ・アンド・プレイの脆弱性)
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ kocka.my**********
ポート: 6660
サーバ・パスワード H4xThisSite
チャンネル #forbot
ニックネーム ATF-
%ランダムな文字列%
パスワード ForBotASNPnP
– このマルウェアは以下の情報を収集し送る能力があります:
• CPU速度
• 空きメモリ
• マルウェアの起動時間
• メモリサイズ
• ユーザーネーム
• ウインドウズOSについての情報
– その他以下のアクションを実行することもできます:
• DDoS ICMP flood 攻撃を開始します。
• DDoS UDP flood 攻撃を開始します。
• ネットワークシェアを無効にする
• ダウンロード・ファイル
• レジストリの編集
• ネットワークシェアを有効にする
• 実行ファイル
• ネットワーク・スキャンの実行
• サービスの登録
• システム再起動
• システムをシャットダウンする
• 伝染ルーチンの開始
バックドア
以下のポートが開かれます:
– winlogins.exe 無作為に選ばれたTCPポート上に FTPサーバを供給するため
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• NSPack
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Tue, 28 Feb 2006 15:10 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Tue, 28 Feb 2006 15:46 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
TR/Crypt.CFI.Gen
Worm/KillAV.GR
Worm/Mytob.AP
Worm/Mytob.AT
TR/Crypt.PEPM.Gen
TR/Vundo.ewz.9
TR/Monderb.318720
Worm/IrcBot.39673.1
TR/PSW.Steam.DU
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Wootbot.69120
Print this page
.gif)
