Worm/PoeBot.C.463 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/PoeBot.C.463
発見日：	08/08/2007
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	124.436 バイト
MD5　チェックサム	26990003e0aeb5f92fd7a900adbafee0

一般情報 感染方法
   • ローカル・ネットワーク

別名
   • Kaspersky(カスペルスキー) Backdoor.Win32.PoeBot.c
   • ビットディフェンダー(Bitdefender)： Backdoor.Agent.YRG

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルを作成します。
   • 文字入力を記録します。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自身のコピーを、表の中のファイル名を使って作成します。
– 宛先: %SYSDIR%\ 以下の名前のうちのどれかを利用します：
   • csrs.exe
   • logon.exe
   • explorer.exe
   • supoolsvc.exe
   • lsass.exe
   • algs.exe
   • iexplore.exe
   • winamp.exe
   • firewall.exe
   • lssas.exe

最初に実行したコピーの方を削除します。

以下のファイルが作成されます：

– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
   • C:\%ランダムな文字列%.bat

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

再起動後そのプロセスを実行するため、以下の値のうちの１つを追加します：

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
   • "Local Security Authority Service"="%SYSDIR%\lsass.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Windows Network Firewall"=%SYSDIR%\firewall.exe
   • "Local Security Authority Service"="%SYSDIR%\lssas.exe"

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します：
   • IPC$
   • C$
   • D$
   • E$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • C$\windows
   • e$\shared
   • d$\shared
   • c$\winnt
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$

リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します：

– 以下のユーザ名：
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; sa; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– 以下のパスワード：
   • winpass; blank; xp; nokia; hp; orainstall; sqlpassoainstall; db1234;
      db2; db1; databasepassword; databasepass; dbpassword; dbpass;
      domainpassword; domainpass; hello; hell; love; money; slut; bitch;
      fuck; exchange; loginpass; login; qwe; zxc; asd; qaz; win2000; winnt;
      winxp; win2k; win98; windows; oeminstall; oem; accounting; accounts;
      letmein; sex; outlook; mail; qwerty; temp123; temp; null; default;
      changeme; demo; test; 2005; 2004; 2001; secret; payday; deadline;
      work; 1234567890; 123456789; 12345678; 1234567; 123456; 12345; 1234;
      123; 12; 007; pwd; pass; pass1234; dba; passwd; password; password1;
      abc; ab

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS03-026 (RPC インターフェイスのバッファオーバーランによりコードが実行される)
– MS04-011 (LSASSの脆弱性)
– MS05-039 (プラグ・アンド・プレイの脆弱性)
–MS06-040 : Windows の重要な更新 Server サービスの脆弱性により、リモートでコードが実行される (921883)

IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。

感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにTFTPかFTPのスクリプトを作成します。

リモート実行：
–新しく感染したマシンに、マルウェアのリモート実行を開始しようとします。そのため、NetScheduleJobAdd機能を利用します。

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ zt.enterhere**********
ポート： 5190
チャンネル #usac
ニックネーム %8桁のランダムな文字列%

– このマルウェアは以下の情報を収集し送る能力があります：
    • キャッシュに入ったパスワード
    • CPU速度
    • ログインしているユーザ
    • ドライバの詳細
    • 空きディスク容量
    • 空きメモリ
    • マルウェアの起動時間
    • ネットワークについての情報
    • プラットフォームID
    • メモリサイズ
    • ユーザーネーム
    • ユーザーのローカル活動

– その他以下のアクションを実行することもできます：
    • DDoS ICMP flood 攻撃を開始します。
    • DDoS SYN flood 攻撃を開始します。
    • DDoS UDP flood 攻撃を開始します。
    • ダウンロード・ファイル
    • 実行ファイル
    • IRCチャンネルに入室する
    • プロセスを強制終了する
    • ネットワーク・スキャンの実行
    • システム再起動
    • メールを送る
    • キーログの開始
    • それ自身をアップデートします。

窃盗以下の情報を盗もうとします：
– パスワード入力箇所に入力されたパスワード
– オートコンプリート機能を利用して記録されたパスワード
– レジストリ・キーから取り出されたメール・アカウント情報：HKCUSoftwareMicrosoftInternet Account ManagerAccounts

– 以下のプログラムからのパスワード：
   • FlashFXP
   • MSN Messenger
   • OutlookExpress
   • UnrealIRCD
   • World Of Warcraft
   • Steam
   • Conquer Online
   • Unreal3

– 以下の文字列と合致するキー入力がされると、ログインを開始します：
   • paypal

– 取り込むのは：
    • キー入力

– ウェブサイトを訪問した後ログインを開始します：
   • paypal.com

– 取り込むのは：
    • キー入力
    • ログイン情報

その他 Mutex(ミューテック)

以下のMutex(ミューテック）を作成します：
• dcf7d2f7071938ba83b50c70eedd5ceb8984

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Monica Ghitun によって Wed, 07 Nov 2007 12:11 (GMT+1) 書き込まれました。
この説明は Monica Ghitun によって Wed, 07 Nov 2007 15:56 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back