Имя:Worm/IRCBot.EX
Обнаружен:19/08/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:8.275 байт.
Контрольная сумма MD5:38b3ca593642abdf5a1cfe9183040ca6
Версия VDF:6.31.1.150

 Общее Метод распространения:
   • Локальная сеть


Псевдоним (alias):
   •  Kaspersky: Backdoor.Win32.IRCBot.ex


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\ssl.exe



Выполненная копия программы удаляется.



Создается файл:

%WINDIR%\debug\dcpromo.log

 Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\system\currentcontrolset\services\ssl
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Microsoft SSL"
   • "ObjectName"="LocalSystem"
   • "Description"="Provides communication security between clients and servers over TCP. If this service is stopped, TCP security between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to"

– HKLM\system\currentcontrolset\services\ssl\Enum
   • "0"="Root\\LEGACY_SSL\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\system\currentcontrolset\enum\root\legacy_ssl
   • "NextInstance"=dword:00000001

– HKLM\system\currentcontrolset\enum\root\legacy_ssl\0000
   • "Service"="ssl"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Microsoft SSL"

– HKLM\system\currentcontrolset\enum\root\legacy_ssl\0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="ssl"

– HKLM\system\currentcontrolset\services\ssl
   • "ImagePath"= %WINDIR%\ssl.exe

– HKLM\system\currentcontrolset\services\ssl
   • "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,74,00,20,\
      00,01,00,00,00,00,00,00,00

– HKLM\system\currentcontrolset\services\ssl\Security
   • "Security"=%WINDIR%\ssl.exe



Изменяются следующие ключи реестра:

– HKLM\system\controlset001\control\servicecurrent
   Прежнее значение:
   • @=dword:%Настройки пользователя%
   Новое значение:
   • @=dword:0000000e

– HKLM\software\microsoft\ole
   Прежнее значение:
   • "EnableDCOM"="%Настройки пользователя%"
   Новое значение:
   • "EnableDCOM"="n"

– HKLM\system\currentcontrolset\control\lsa
   Прежнее значение:
   • "restrictanonymous"=dword:%Настройки пользователя%
   Новое значение:
   • "restrictanonymous"=dword:00000001

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используется следующая брешь в безопасности:
– MS04-011 (Уязвимость LSASS)


Генарация IP адресов:
Создаются случайные IP адреса и производится попытка установить соединение с этим адресом.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: **********.wallloan.com
Порт: 18067
Канал: #p5
Имя: p5-<%случайная буквенная комбинация%>
Пароль: wolnqjnr


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл
    • Произвести DDoS атаку
    • Проверка сети
    • Обновляется самостоятельно

Описание добавил Sergiu Oprea в(о) пятница, 26 августа 2005 г.
Описание обновил Sergiu Oprea в(о) вторник, 30 августа 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.