Worm/Rbot.XN - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Rbot.XN
発見日：	08/08/2005
タイプ	ワーム
感染報告有り	いいえ
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	499.712 バイト
MD5　チェックサム	336e4ef735bf545151b5cdd11ddd1d1d
VDFファージョン：	6.31.01.68 - Mon, 08 Aug 2005 11:39 (GMT+1)

一般情報 感染方法
   • ローカル・ネットワーク
   • 割り当てられたネットワーク・ドライブ

別名
   • Kaspersky(カスペルスキー) Backdoor.Win32.Rbot.xn
   • TrendMicro(トレンドマイクロ） WORM_RBOT.BXP
   • Sophos(ソフォス) W32/Rbot-AOK
   • Grisoft IRC/BackDoor.SdBot.HFN
   • ウイルスバスター virus Worm.RBot.CFJ
   • ビットディフェンダー(Bitdefender)： Backdoor.Rbot.XN

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • それ自身のメール・エンジンを利用します。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\%3桁のランダムな文字列%.exe

最初に実行したコピーの方を削除します。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows ASN Service"="%実行ファイル%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows ASN Service"="%実行ファイル%"

以下のレジストリ・キーが追加されます：

– [HKLM\SOFTWARE\Licenses]
   • "{R7C0DB872A3F777C0}"=%hex値%
   • "{K7C0DB872A3F777C0}"=%hex値%
   • "{I5D8DDAB8BD72C6E7}"=%hex値%
   • "{05D8DDAB8BD72C6E7}"=%hex値%

– [HKLM\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   • "TrapPollTimeMilliSecs"=dword:00003a98

– [HKCR\CLSID\{22A6FF82-B3E0-94BB-5FCD-EA067B86810F}]

以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Microsoft\Ole]
   前の値
   • "EnableDCOM"=%ユーザ設定%
   新しい値
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   前の値
   • "restrictanonymous"=%ユーザ設定%
   • "restrictanonymoussam"=%ユーザ設定%
   新しい値
   • "restrictanonymous"=dword:00000001
   • "restrictanonymoussam"=dword:00000001

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します：
   • IPC$
   • ADMIN$
   • C$
   • C:\
   • D$
   • D:\

リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します：

– ユーザ名とパスワードの表：
   • 12; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; accounting; accounts; adm;
      admin; administrador; administrat; administrateur; administrator;
      admins; asd; backup; bill; bitch; blank; bob; brian; changeme; chris;
      cisco; compaq; computer; control; data; database; databasepass;
      databasepassword; db1; db1234; db2; dba; dbpass; dbpassword; default;
      dell; demo; domain; domainpass; domainpassword; eric; exchange; fred;
      fuck; george; god; guest; hell; hello; home; homeuser; hp; ian; ibm;
      internet; intranet; jen; joe; john; kate; katie; lan; lee; linux;
      login; loginpass; luke; mail; main; mary; mike; neil; nokia; none;
      null; oem; oeminstall; oemuser; office; oracle; orainstall; outlook;
      owner; pass; pass1234; passwd; password; password1; peter; pwd; qaz;
      qwe; qwerty; root; sa; sam; server; sex; siemens; slut; sql;
      sqlpassoainstall; staff; student; sue; susan; system; teacher;
      technical; test; unix; user; web; win2000; win2k; win98; windows;
      winnt; winpass; winxp; www; wwwadmin; xp; zxc

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS03-026 (RPC インターフェイスのバッファオーバーランによりコードが実行される)
– MS03-039 (RPCSS サービスのバッファオーバーランによりコードが実行される (824146))
– MS03-049 (Workstation サービスのバッファオーバーランにより、コードが実行される (828749))
– MS04-007 (ASN .1 の脆弱性により、コードが実行される)
– MS04-011 (LSASSの脆弱性)

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ 94.amdweb**********.com
ポート： 6667
サーバ・パスワード R4DRR4KZ6ZD3
チャンネル #asn
ニックネーム sMB-%6桁のランダムな文字列%
パスワード NdIVyk5D

– このマルウェアは以下の情報を収集し送る能力があります：
    • CPU速度
    • ログインしているユーザ
    • ドライバの詳細
    • 空きディスク容量
    • 空きメモリ
    • マルウェアの起動時間
    • ネットワークについての情報
    • 起動中のプロセスについての情報
    • メモリサイズ
    • ユーザーネーム
    • ユーザーのローカル活動
    • ウインドウズOSについての情報

– その他以下のアクションを実行することもできます：
    • IRCサーバと接続します。
    • DDoS ICMP flood 攻撃を開始します。
    • DDoS SYN flood 攻撃を開始します。
    • DDoS UDP flood 攻撃を開始します。
    • DCOMを無効にする
    • ネットワークシェアを無効にする
    • IRCサーバとの接続を終了します。
    • ダウンロード・ファイル
    • DCOMを有効にする
    • ネットワークシェアを有効にする
    • 実行ファイル
    • IRCチャンネルに入室する
    • プロセスを強制終了する
    • IRCチャンネルを退室する
    • リモートシェルを開く
    • DDoS攻撃を実行する
    • ネットワーク・スキャンの実行
    • サービスの登録
    • システム再起動
    • メールを送る
    • システムをシャットダウンする
    • マルウェアを終了する
    • プロセスを終了する
    • それ自身をアップデートします。
    • ファイルをアップロードする

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• rzasn
• RALAAD91808

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• Armadillo

簡単な説明はココにあります。.

この説明は Daniel Constantin によって Tue, 04 Apr 2006 12:14 (GMT+1) 書き込まれました。
この説明は Daniel Constantin によって Tue, 04 Apr 2006 14:41 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back