Worm/RBot.71617 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/RBot.71617
発見日：	15/12/2005
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	71.617 バイト
MD5　チェックサム	7e98cedd83cb0B2ccfe51c16bce86557
VDFファージョン：	6.33.00.28 - Thu, 15 Dec 2005 10:56 (GMT+1)

一般情報 感染方法
   • ローカル・ネットワーク

別名
   • Symantec(シマンテック) W32.Spybot.Worm
   • Kaspersky(カスペルスキー) Backdoor.Win32.SdBot.aad
   • TrendMicro(トレンドマイクロ） WORM_SDBOT.DFH
   • F-Secure(エフ・セキュア) Backdoor.Win32.SdBot.aad
   • Sophos(ソフォス) W32/Tilebot-CM
   • Panda W32/Sdbot.EKF.worm
   • ウイルスバスター Worm.RBot.DFU
   • ビットディフェンダー(Bitdefender)： Backdoor.Sdbot.F445.A

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティの設定を低くします。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
   • %WINDIR%\comctsvc.exe

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • ftp.ea.com/pub/ea/patches/nfs/nfs-cd.zip
   • ftp.osc.edu/pub/bpowell/oscttssh.exe
   • ftp.ncsa.uiuc.edu/Mac/QuickTime/RealTime1.sea.bin
   • ftp.aol.com/aim/java/aim.exe
   • ftp.symantec.com/public/hungarian/liveupdate/lusetup.exe
   • download.nvidia.com/video/NVIDIA_EuroNews_English.wmv
   • ftp.demon.co.uk
   • space.mit.edu
   • ftp.gactr.uga.edu
   • ftp.novell.com
   • tsx-11.mit.edu

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "comctsvc" = "%WINDIR%\comctsvc.exe"

以下のレジストリ・キーが追加されます：

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "bftyb" = %hex value%

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

以下のレジストリ・キーは変更されます：

– HKLM\SYSTEM\CurrentControlSet\Control
   前の値
   • "WaitToKillServiceTimeout"=%ユーザ設定%
   新しい値
   • "WaitToKillServiceTimeout"="7000"

– HKLM\SOFTWARE\Microsoft\Security Center
   前の値
   • "UpdatesDisableNotify"=%ユーザ設定%
   • "AntiVirusDisableNotify"=%ユーザ設定%
   • "FirewallDisableNotify"=%ユーザ設定%
   • "AntiVirusOverride"=%ユーザ設定%
   • "FirewallOverride"=%ユーザ設定%
   新しい値
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

ウインドウズ XPのＦｉｒｅｗａｌｌ（防火壁）を無効にする:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   前の値
   • "EnableFirewall"=%ユーザ設定%
   新しい値
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   前の値
   • "AUOptions"=%ユーザ設定%
   新しい値
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   前の値
   • "restrictanonymous"=%ユーザ設定%
   新しい値
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   前の値
   • "AutoShareWks"=%ユーザ設定%
   • "AutoShareServer"=%ユーザ設定%
   新しい値
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Ole
   前の値
   • "EnableDCOM"=%ユーザ設定%
   新しい値
   • "EnableDCOM"="N"

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します：
   • IPC$
   • d$\windows\system32
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$

リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します：

– ユーザ名とパスワードの表：
   • aaaa; aaa; abc; asd; asdf; qwerty; qwert; 321; 54321; 12345; 1234;
      123; test; backup; user; guest; Rin; Yuka; Mitsuki; Moe; Miyu; Riko;
      Miu; Nanami; Aoi; Misaki; Daiki; Kenta; Kaito; Sota; Shota; Ren; Sho;
      Takumi; Shun; elizabeth; samantha; ashley; isabella; hannahabigail;
      olivia; madison; emma; emily; christopher; joseph; william; daniel;
      andrew; ethan; matthew; joshua; michael; jacob; root; serv; Server;
      server; Test; Backup; User; Guest; Admin; admin; Administrator;
      administrator

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS02-061 (SQL Server Web タスクで権限が昇格する)
– MS03-026 (RPC インターフェイスのバッファオーバーランによりコードが実行される)
– MS03-039 (RPCSS サービスのバッファオーバーランによりコードが実行される (824146))
– MS03-049 (Workstation サービスのバッファオーバーランにより、コードが実行される (828749))
– MS04-007 (ASN .1 の脆弱性により、コードが実行される)
– MS04-011 (LSASSの脆弱性)
– MS05-039 (プラグ・アンド・プレイの脆弱性)

IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。

感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。

リモート実行：
–新しく感染したマシンに、マルウェアのリモート実行を開始しようとします。そのため、NetScheduleJobAdd機能を利用します。

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ bitchplz.**********
ポート： 8035
チャンネル #haqr
ニックネーム [USA]-%5桁のランダムな文字列%
パスワード :|

サーバ wtfchinks.**********
ポート： 8035
チャンネル #haqr
ニックネーム [USA]-%5桁のランダムな文字列%
パスワード :|

– このマルウェアは以下の情報を収集し送る能力があります：
    • キャッシュに入ったパスワード
    • 収集されたメールアドレス
    • CPU速度
    • ログインしているユーザ
    • ドライバの詳細
    • 空きディスク容量
    • 空きメモリ
    • ネットワークについての情報
    • 起動中のプロセスについての情報
    • メモリサイズ
    • ユーザーネーム
    • ウインドウズOSについての情報

– その他以下のアクションを実行することもできます：
    • ネットワークシェアを無効にする
    • ダウンロード・ファイル
    • ネットワークシェアを有効にする
    • 実行ファイル
    • プロセスを強制終了する
    • DDoS攻撃を実行する
    • ネットワーク・スキャンの実行
    • ポート転送を実行する
    • それ自身をアップデートします。
    • ファイルをアップロードする

プロセス中断以下のサービスは無効にされます：
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• 357268

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Irina Boldea によって Tue, 11 Apr 2006 16:25 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Fri, 14 Apr 2006 15:24 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back