English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/RBot.90102
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/RBot.90102 - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/RBot.90102
発見日:
11/07/2005
タイプ
ワーム
感染報告有り
はい
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
90.102 バイト
MD5 チェックサム
7fce8d01b482de1628b793c2d2ddeadc
VDFファージョン:
6.31.00.184
- Mon, 11 Jul 2005 14:22 (GMT+1)
一般情報
感染方法
• ローカル・ネットワーク
別名
• Symantec(シマンテック) W32.Spybot.Worm
• TrendMicro(トレンドマイクロ) WORM_RBOT.BTW
• F-Secure(エフ・セキュア) Backdoor.Win32.Rbot.gen
• Sophos(ソフォス) W32/Rbot-Fam
• Panda W32/Gaobot.JAP
• Grisoft IRC/BackDoor.SdBot.192.AO
• ウイルスバスター Worm.RBot.BXJ
• Eset Win32/Rbot
• ビットディフェンダー(Bitdefender): Backdoor.Rbot.CTF
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• レジストリの改変。
• ソフトの脆弱性を利用します。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\msgame32.exe
最初に実行したコピーの方を削除します。
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Microsoft Gaming Updater 32"="msgame32.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
• "Microsoft Gaming Updater 32"="msgame32.exe"
以下のレジストリ・キーは変更されます:
– HKLM\SOFTWARE\Microsoft\Ole
前の値
• "EnableDCOM"=
%ユーザ設定%
新しい値
• "EnableDCOM"="N"
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
前の値
• "restrictanonymous"=
%ユーザ設定%
• "restrictanonymoussam"=
%ユーザ設定%
新しい値
• "restrictanonymous"=dword:00000001
• "restrictanonymoussam"=dword:00000001
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
以下のネットワーク・シェアにそれ自身のコピーを作成します:
• ADMIN$
• IPC$
• C$
リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します:
–キャッシュに入ったユーザ名とパスワード
– ユーザ名とパスワードの表:
• root; computer; owner; student; teacher; wwwadmin; guest; default;
database; dba; oracle; db2; administrator; administrador;
administrateur; administrat; admins; admin; adm; password1; password;
passwd; pass1234; pass; pwd; 007; 123; 1234; 12345; 123456; 1234567;
12345678; 123456789; 1234567890; 2000; 2001; 2002; 2003; 2004; test;
guest; none; demo; unix; linux; changeme; default; system; server;
root; null; qwerty; mail; outlook; web; www; internet; accounts;
accounting; home; homeuser; user; oem; oemuser; oeminstall; windows;
win98; win2k; winxp; winnt; win2000; qaz; asd; zxc; qwe; bob; jen;
joe; fred; bill; mike; john; peter; luke; sam; sue; susan; peter;
brian; lee; neil; ian; chris; eric; george; kate; bob; katie; mary;
login; loginpass; technical; backup; exchange; fuck; bitch; slut; sex;
god; hell; hello; domain; domainpass; domainpassword; database;
access; dbpass; dbpassword; databasepass; data; databasepassword; db1;
db2; db1234; sql; sqlpassoainstall; orainstall; oracle; ibm; cisco;
dell; compaq; siemens; nokia; control; office; blank; winpass; main;
lan; internet; intranet; student; teacher; staff
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS03-026
(RPC インターフェイスのバッファ オーバーランによりコードが実行される)
–
MS03-039
(RPCSS サービス のバッファ オーバーランによりコードが実行される (824146))
–
MS03-049
(Workstation サービスのバッファ オーバーランにより、コードが実行される (828749))
–
MS04-007
(ASN .1 の脆弱性により、コードが実行される)
–
MS04-011
(LSASSの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにTFTPスクリプトを作成します。
リモート実行:
–新しく感染したマシンに、マルウェアのリモート実行を開始しようとします。そのため、NetScheduleJobAdd機能を利用します。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ moo.na**********
ポート: 9136
チャンネル #asn
ニックネーム AS-
%6桁のランダムな文字列%
パスワード asshole
– このマルウェアは以下の情報を収集し送る能力があります:
• CPU速度
• ログインしているユーザ
• ドライバの詳細
• 空きディスク容量
• 空きメモリ
• ネットワークについての情報
• 起動中のプロセスについての情報
• メモリサイズ
• ユーザーネーム
• ウインドウズOSについての情報
– その他以下のアクションを実行することもできます:
• DDoS ICMP flood 攻撃を開始します。
• DDoS SYN flood 攻撃を開始します。
• DDoS UDP flood 攻撃を開始します。
• DCOMを無効にする
• ネットワークシェアを無効にする
• ダウンロード・ファイル
• DCOMを有効にする
• ネットワークシェアを有効にする
• 実行ファイル
• IRCチャンネルに入室する
• プロセスを強制終了する
• IRCチャンネルを退室する
• リモートシェルを開く
• DDoS攻撃を実行する
• ネットワーク・スキャンの実行
• システム再起動
• メールを送る
• 伝染ルーチンの開始
• プロセスを終了する
• それ自身をアップデートします。
• ファイルをアップロードする
バックドア
以下のポートが開かれます:
–
%SYSDIR%
\msgame32.exe UDPポートに 69 TFTPサーバを作成するため。
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• moao
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Irina Boldea によって Thu, 06 Apr 2006 10:13 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Wed, 19 Apr 2006 09:31 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
