Имя:DR/IRCBot.8184.B
Обнаружен:19/08/2005
Вид:Дроппер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:8.219 байт.
Контрольная сумма MD5:84f9161a7580ca8ae571c41230eaa77d
Версия VDF:6.31.1.134

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Esbot.B
   •  Mcafee: W32/Sdbot.worm.gen.by
   •  Kaspersky: Backdoor.Win32.IRCBot.ex
   •  TrendMicro: WORM_ESBOT.C
   •  F-Secure: W32/Ircbot.S
   •  Bitdefender: Win32.Worm.EsBot.B


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Последствия:
   • Загружает вредоносные файлы
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\wpa.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

%SYSDIR%\wpa.dbl
%WINDIR%\debug\dcpromo.log



Попытка загрузки следующего файла:

– Следующий URL:
   • http://**********.com/p5.jpg
Сохраняется локально в: %temporary internet files%\p5.jpg Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\system\currentcontrolset\services\wpa]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Windows Product Activation"
   • "ObjectName"="LocalSystem"

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa]
   • "NextInstance"=dword:00000001

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa\0000]
   • "Service"="wpa"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Windows Product Activation"

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="wpa"

– [HKLM\system\currentcontrolset\services\wpa]
   • "ImagePath"="%SYSDIR%\wpa.exe"

– [HKLM\system\currentcontrolset\services\wpa\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\system\currentcontrolset\services\wpa]
   • "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,\
      00,01,00,00,00,00,00,00,00

– [HKLM\system\currentcontrolset\services\wpa]
   • "Description"="Windows Product Activation is an anti-piracy technology designed to verify that software products have been legitimately licensed."



Изменяются следующие ключи реестра:

– [HKLM\system\controlset001\control\servicecurrent]
   Прежнее значение:
   • @=dword:%Настройки пользователя%
   Новое значение:
   • @=dword:0000000e

– [HKLM\software\microsoft\ole]
   Прежнее значение:
   • "EnableDCOM"="%Настройки пользователя%"
   Новое значение:
   • "EnableDCOM"="n"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используется следующая брешь в безопасности:
– MS05-039 (уязвимость в Plug and Play)


Генарация IP адресов:
Создаются случайные IP адреса и производится попытка установить соединение с этим адресом.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: 68.194.76.**********
Порт: 18067
Канал: #p4
Имя: p4-%случайная буквенная комбинация%
Пароль: u79duhhk


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Sergiu Oprea в(о) понедельник, 22 августа 2005 г.
Описание обновил Sergiu Oprea в(о) вторник, 30 августа 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.