Имя:Worm/RB.101376.14.B
Обнаружен:15/08/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:101.376 байт.
Контрольная сумма MD5:ff9b652337043bb7e46f94e50284204f
Версия VDF:6.31.1.110

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.h
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.CDS
   •  F-Secure: W32/Backdoor.EXW
   •  VirusBuster: Worm.RBot.CEK
   •  Bitdefender: Backdoor.SDBot.054EA1A5


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Последствия:
   • Загружает вредоносные файлы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\MSLSA32.exe



Выполненная копия программы удаляется.

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используются следующие бреши в безопасности:
– MS04-011 (Уязвимость LSASS)


Генарация IP адресов:
Создаются случайные IP адреса и производится попытка установить соединение с этим адресом.


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: ns1.gol**********.com.ar
Порт: 65053
Пароль сервера: PASS
Канал: #g-scan#
Имя: [0]USA|%случайная комбинация из двух букв%
Пароль: argrulex

Сервер: ns1.gol**********.com.ar
Порт: 65053
Пароль сервера: PASS
Канал: #g-down1#
Имя: [0]USA|%случайная комбинация из двух букв%
Пароль: argrulex

Сервер: ns1.gol**********.com.ar
Порт: 65080
Пароль сервера: PASS
Канал: #g-down2#
Имя: [0]USA|%случайная комбинация из двух букв%
Пароль: argrulex



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • Объем памяти
    • Системная папка


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Покинуть чат-комнату IRC

 Разное Мьютекс:
Создается мьютекс:
   • st@ch3ndr4th-l4st-v3r

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • ASPack 2.12

Описание добавил Victor Tone в(о) четверг, 25 августа 2005 г.
Описание обновил Victor Tone в(о) понедельник, 29 августа 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.