Полное описание

Имя:	Worm/RB.101376.14.B
Обнаружен:	15/08/2005
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	101.376 байт.
Контрольная сумма MD5:	ff9b652337043bb7e46f94e50284204f
Версия VDF:	6.31.1.110

Общее Метод распространения:
   • Локальная сеть

Псевдонимы (аliases):
   • Symantec: W32.Spybot.Worm
   • Mcafee: W32/Sdbot.worm.gen.h
   • Kaspersky: Backdoor.Win32.Rbot.gen
   • TrendMicro: WORM_RBOT.CDS
   • F-Secure: W32/Backdoor.EXW
   • VirusBuster: Worm.RBot.CEK
   • Bitdefender: Backdoor.SDBot.054EA1A5

Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Последствия:
   • Загружает вредоносные файлы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %SYSDIR%\MSLSA32.exe

Выполненная копия программы удаляется.

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Эксплойт:
Используются следующие бреши в безопасности:
– MS04-011 (Уязвимость LSASS)

Генарация IP адресов:
Создаются случайные IP адреса и производится попытка установить соединение с этим адресом.

Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: ns1.gol**********.com.ar
Порт: 65053
Пароль сервера: PASS
Канал: #g-scan#
Имя: [0]USA|%случайная комбинация из двух букв%
Пароль: argrulex

Сервер: ns1.gol**********.com.ar
Порт: 65053
Пароль сервера: PASS
Канал: #g-down1#
Имя: [0]USA|%случайная комбинация из двух букв%
Пароль: argrulex

Сервер: ns1.gol**********.com.ar
Порт: 65080
Пароль сервера: PASS
Канал: #g-down2#
Имя: [0]USA|%случайная комбинация из двух букв%
Пароль: argrulex

– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • Объем памяти
    • Системная папка

– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Покинуть чат-комнату IRC

Разное Мьютекс:
Создается мьютекс:
• st@ch3ndr4th-l4st-v3r

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• ASPack 2.12

Описание добавил Victor Tone в(о) четверг, 25 августа 2005 г.
Описание обновил Victor Tone в(о) понедельник, 29 августа 2005 г.

Назад . . . .