Worm/Botsie - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Botsie
発見日：	30/05/2007
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	中～高
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	499.712 バイト
MD5　チェックサム	c44df8425589705fcd32694a3a7a77ac
IVDFファージョン：	6.38.01.204 - Wed, 30 May 2007 08:41 (GMT+1)

一般情報 感染方法
   • ローカル・ネットワーク
   • メッセンジャー

別名
   • McAfee(マカフィー) W32/Sdbot.worm.gen.ca
   • Kaspersky(カスペルスキー) Backdoor.Win32.VanBot.da
   • F-Secure(エフ・セキュア) Backdoor.Win32.VanBot.da
   • Sophos(ソフォス) W32/Vanebot-AT
   • Panda W32/IRCbot.AUU.worm
   • Grisoft IRC/BackDoor.SdBot3.BJA
   • Eset Win32/IRCBot.UG

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • セキュリティの設定を低くします。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\dllcache\winsntp.exe

最初に実行したコピーの方を削除します。

レジストリ以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです：

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Memorex Network Analysis Tool]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\dllcache\winsntp.exe
   • DisplayName = Memorex Network Analysis Tool
   • ObjectName = LocalSystem
   • FailureActions = %hex値%
   • Description = Memorex Network tool is a TCP analysis tool.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Memorex Network Analysis Tool\Security]
   • Security = %hex値%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Memorex Network Analysis Tool\Enum]
   • 0 = Root\LEGACY_MEMOREX_NETWORK_ANALYSIS_TOOL\0000
   • Count = 1
   • NextInstance = 1

メッセンジャーメッセンジャーを通して感染します。その特徴は以下の通りです：

– AIMメッセンジャー
– ICQメッセンジャー
– MSNメッセンジャー
– Yahooメッセンジャー

宛先:
コンタクト・リストにあるすべての登録情報

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します：

– ユーザ名とパスワードの表：
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      asdfgh; admin; root

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS02-061 (SQL Server Web タスクで権限が昇格する)
– MS04-007 (ASN .1 の脆弱性により、コードが実行される)
–MS06-040 : Windows の重要な更新 Server サービスの脆弱性により、リモートでコードが実行される (921883)

感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ 66.64.36.**********
ポート： 4904
チャンネル #net#
ニックネーム 0]USA|%ウインドウズのファージョン%[P]%ランダムにいくつか選ばれた0から9までの数%

– このマルウェアは以下の情報を収集し送る能力があります：
    • キャッシュに入ったパスワード
    • CPU速度
    • ログインしているユーザ
    • ドライバの詳細
    • 空きディスク容量
    • 空きメモリ
    • マルウェアの起動時間
    • メモリサイズ
    • ユーザーネーム
    • ウインドウズOSについての情報

– その他以下のアクションを実行することもできます：
    • DDoS SYN flood 攻撃を開始します。
    • ダウンロード・ファイル
    • 実行ファイル
    • ネットワーク・スキャンの実行
    • キーログの開始
    • 伝染ルーチンの開始
    • マルウェアを終了する
    • プロセスを終了する

プロセス中断以下の文字列を含むプロセスは終了されます：
   • Ad-aware; spyware; hijack; kav; proc; norton; mcafee; f-pro; lockdown;
      firewall; blackice; avg; vsmon; zonea; spybot; nod32; reged; avp;
      troja; viru; anti

以下のサービスは無効にされます：
   • Norton AntiVirus Auto Protect Service
   • Mcshield
   • Panda Antivirus

バックドア以下のポートが開かれます：

– %SYSDIR%\dllcache\winsntp.exe 無作為に選ばれたTCPポート上に FTPサーバを供給するため
– %SYSDIR%\dllcache\winsntp.exe 無作為に選ばれたTCPポート上に Socks 4 プロキシ・サーバを準備するため

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• Themida

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Wed, 24 Oct 2007 15:39 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Wed, 24 Oct 2007 15:44 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back