Имя:Worm/ToxoBot.19744
Обнаружен:16/08/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:19.744 байт.
Контрольная сумма MD5:EC6952A917E98971A7226D019AB1A8F7
Версия VDF:6.31.1.92

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Toxbot
   •  VirusBuster: Worm.Codbot.AB
   •  Bitdefender: Trojan.Exploit.Hokey


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отслеживается и записывает введенные с клавиатуры символы
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\javascript.exe



Выполненная копия программы удаляется.

 Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\javascript.exe
   • "DisplayName"="Enables Javascript Support"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,41,00,63,\ 00,01,00,00,00,01,00,00,00
   • "Description"="This service is responsible for handling Javascript."

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Javascript]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Javascript]
   • @="Service"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используются следующие бреши в безопасности:
– MS02-061 (повышение привилегий в SQL Server Web)
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-039 (Переполнение буфера RPCSS Service)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-011 (Уязвимость LSASS)


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: 0x80.**********-software.org
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7

Сервер: 0x80.**********formars.com
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7

Сервер: 0x80.my**********.com
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7

Сервер: 0x80.**********secure.name
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7

Сервер: 0xff.**********zero.info
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7

Сервер: 0x80.martian**********.com
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Время жизни вредоносной программы
    • Информация о сети
    • Объем памяти


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл

 Backdoor Открываются следующие порты:

%SYSDIR%\javascript.exe к произвольному TCP порту для обеспечения FTP сервера.
%SYSDIR%\javascript.exe к произвольному TCP порту для обеспечения backdoor функции.
%SYSDIR%\javascript.exe по UDP порту 69 для обеспечения TFTP сервера.

 Кража Попытка кражи следующей информации:

– После набора на клавиатуре одной из следующих последовательностей символов запускается функция протоколирования:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Протоколируется:
    • Нажатие клавиш
    • Информация об окне

– Запуск функции протоколирования при посещении веб-страницы с одной из следующих последовательностей в URL:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Протоколируется:
    • Нажатие клавиш
    • Информация об окне

 Разное Мьютекс:
Создается мьютекс:
   • xJavaSCriptx

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) вторник, 16 августа 2005 г.
Описание обновил Andrei Gherman в(о) среда, 24 августа 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.