Worm/Rbot.96768.12 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Rbot.96768.12
発見日：	23/05/2005
タイプ	ワーム
感染報告有り	いいえ
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	96.768 バイト
MD5　チェックサム	1cf27193818159e647bef27f02268eea
VDFファージョン：	6.31.01.166 - Tue, 23 Aug 2005 16:52 (GMT+1)

一般情報 感染方法
   • ローカル・ネットワーク
   • 割り当てられたネットワーク・ドライブ

別名
   • TrendMicro(トレンドマイクロ） WORM_RBOT.ERW
   • Sophos(ソフォス) W32/Rbot-BAH
   • Grisoft IRC/BackDoor.SdBot.HLZ
   • ウイルスバスター Worm.RBot.CFY
   • Eset Win32/Rbot
   • ビットディフェンダー(Bitdefender)： Backdoor.RBot.WDC

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\scvhost9.exe

最初に実行したコピーの方を削除します。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Generic Host Process9 System Backup"="scvhost9.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Generic Host Process9 System Backup"="scvhost9.exe"

以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです：

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "Generic Host Process9 System Backup"="scvhost9.exe"

以下のレジストリ・キーは変更されます：

– HKLM\SOFTWARE\Microsoft\Ole
   前の値
   • "EnableDCOM"="Y"
   新しい値
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   前の値
   • "restrictanonymous"=0
   新しい値
   • "restrictanonymous"=1

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します：
   • IPC$
   • C$
   • ADMIN$

リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します：

– ユーザ名とパスワードの表：
   • administrator; administrador; administrateur; administrat; admins;
      admin; staff; root; computer; owner; student; teacher; wwwadmin;
      guest; default; database; dba; oracle; db2; administrator;
      administrador; administrateur; administrat; admins; admin; adm;
      password1; password; passwd; pass1234; pass; pwd; 007; 123; 1234;
      12345; 123456; 1234567; 12345678; 123456789; 1234567890; 2000; 2001;
      2002; 2003; 2004; test; guest; none; demo; unix; linux; changeme;
      default; system; server; root; null; qwerty; mail; outlook; web; www;
      internet; accounts; accounting; home; homeuser; user; oem; oemuser;
      oeminstall; windows; win98; win2k; winxp; winnt; win2000; qaz; asd;
      zxc; qwe; bob; jen; joe; fred; bill; mike; john; peter; luke; sam;
      sue; susan; peter; brian; lee; neil; ian; chris; eric; george; kate;
      bob; katie; mary; login; loginpass; technical; backup; exchange; fuck;
      bitch; slut; sex; god; hell; hello; domain; domainpass;
      domainpassword; database; access; dbpass; dbpassword; databasepass;
      data; databasepassword; db1; db2; db1234; sql; sqlpassoainstall;
      orainstall; oracle; ibm; cisco; dell; compaq; siemens; nokia; control;
      office; blank; winpass; main; lan; internet; intranet; student;
      teacher; staff

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS03-026 (RPC インターフェイスのバッファオーバーランによりコードが実行される)
– MS03-039 (RPCSS サービスのバッファオーバーランによりコードが実行される (824146))
– MS04-011 (LSASSの脆弱性)

感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにTFTPスクリプトを作成します。

リモート実行：
–新しく感染したマシンに、マルウェアのリモート実行を開始しようとします。そのため、NetScheduleJobAdd機能を利用します。

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ power.pro**********
ポート： 3267
チャンネル #Bït[r2]Nåt
ニックネーム {XP}-%7桁のランダムな文字列%
パスワード FIRE

– このマルウェアは以下の情報を収集し送る能力があります：
    • キャッシュに入ったパスワード
    • スクリーンを取り込む
    • ウェブカムからショットを取り込む
    • CPU速度
    • ログインしているユーザ
    • 空きディスク容量
    • 空きメモリ
    • マルウェアの起動時間
    • ネットワークについての情報
    • 起動中のプロセスについての情報
    • メモリサイズ
    • ウインドウズOSについての情報

– その他以下のアクションを実行することもできます：
    • IRCサーバと接続します。
    • DDoS ICMP flood 攻撃を開始します。
    • DDoS SYN flood 攻撃を開始します。
    • DDoS TCP flood 攻撃を開始します。
    • DDoS UDP flood 攻撃を開始します。
    • DCOMを無効にする
    • ネットワークシェアを無効にする
    • IRCサーバとの接続を終了します。
    • ダウンロード・ファイル
    • レジストリの編集
    • DCOMを有効にする
    • ネットワークシェアを有効にする
    • 実行ファイル
    • IRCチャンネルに入室する
    • プロセスを強制終了する
    • IRCチャンネルを退室する
    • リモートシェルを開く
    • DDoS攻撃を実行する
    • ネットワーク・スキャンの実行
    • ポート転送を実行する
    • システム再起動
    • メールを送る
    • キーログの開始
    • 伝染ルーチンの開始
    • プロセスを終了する
    • それ自身をアップデートします。
    • ファイルをアップロードする
    • ウェブサイトを訪問します。

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• Bot-1

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Irina Boldea によって Thu, 23 Nov 2006 14:25 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Thu, 23 Nov 2006 15:13 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back