Worm/Aimbot.EQ - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Aimbot.EQ
発見日：	13/10/2006
タイプ	ワーム
感染報告有り	いいえ
感染報告	低
感染の可能性	低～中
ダメージ・ポテンシャル	中～高
スタティック・ファイル	はい
ファイル・サイズ	1.184.256 バイト
MD5　チェックサム	5fab5a579a0Af582d3a9b99454727125
VDFファージョン：	6.35.01.101
IVDFファージョン：	6.35.01.102 - Wed, 16 Aug 2006 15:23 (GMT+1)

一般情報 感染方法
   • ローカル・ネットワーク
   • メッセンジャー

別名
   • Kaspersky(カスペルスキー) Backdoor.Win32.Aimbot.eq
   • TrendMicro(トレンドマイクロ） WORM_RBOT.UV
   • Eset Win32/Rbot
   • ビットディフェンダー(Bitdefender)： Backdoor.Aimbot.EQ

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルを作成します。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • 情報を盗みます。

ファイルそれ自体を以下の場所にコピーします。
• %WINDIR%\mde.exe

以下のファイルが作成されます：

– %SYSDIR%\drivers\oreans32.sys 作成が完了した後、起動されます。

レジストリ以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです：

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%hex値%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

以下のレジストリ・キーが追加されます：

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="oreans32"

メッセンジャーメッセンジャーを通して感染します。その特徴は以下の通りです：

– AIMメッセンジャー

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します：
• C$
• D$

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS04-007 (ASN .1 の脆弱性により、コードが実行される)
– MS05-039 (プラグ・アンド・プレイの脆弱性)

IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。

処理速度の低下：
– さらに、ネットワーク・スレッドをいくつか作成するために起こる速度の低下に気づくかもしれません。

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ irc.fucknet.**********
ポート： 6667
チャンネル #~#
ニックネーム [P00|USA|8%4桁のランダムな文字列%]
パスワード !@#

– その他以下のアクションを実行することもできます：
    • IRCサーバと接続します。
    • IRCチャンネルに入室する
    • IRCチャンネルを退室する
    • ネットワーク・スキャンの実行
    • メールを送る

窃盗以下の情報を盗もうとします：
– ウインドウズ製品のID

– 以下の文字列をチェックするネットワーク・スニファーを利用します。
• :!x

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• %5桁のランダムな文字列%

アンチ・デバッギング
以下のプログラムが実行されていないか調べます：
• SoftIce

成功すると、自身を終了します。

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Monica Ghitun によって Mon, 16 Oct 2006 09:32 (GMT+1) 書き込まれました。
この説明は Monica Ghitun によって Wed, 01 Nov 2006 08:48 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back