Имя:Worm/IRCBot.FU
Обнаружен:06/09/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:197.632 байт.
Контрольная сумма MD5:dace533a43e910fa460159247b8fb8ec
Версия VDF:6.31.1.210

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.IRCBot.fu
   •  TrendMicro: BKDR_IRCBOT.AQ
   •  VirusBuster: Worm.IRCBot.DU
   •  Bitdefender: Backdoor.IRCBot.FU


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создает собственную копию с именем файла из списка
– Кому: %SYSDIR% С одним из следующих имен:
   • logon.exe
   • firewall.exe
   • algs.exe
   • explorer.exe
   • Isass.exe
   • iexplore.exe
   • spoolsvc.exe
   • winamp.exe
   • csrs.exe




Выполненная копия программы удаляется.



Создаются следующие файлы:

%SYSDIR%\aspr_keys.ini
%Рабочая папка вредоносной программы%\aspr_keys.ini
%Рабочая папка вредоносной программы%\%случайная буквенная комбинация%.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Local Security Authority Service"="%SYSDIR%\Isass.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • c$\windows
   • c$\winnt
   • d$\shared
   • e$\shared
   • print$
   • IPC$
   • admin$
   • admin$\system32


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

–Закэшированные имена пользователей и пароли.

– Следующий список имен пользователей:
   • "staff"; "teacher"; "owner"; "student"; "intranet"; "lan"; "main";
      "office"; "control"; "siemens"; "compaq"; "dell"; "cisco"; "ibm";
      "oracle"; "sql"; "data"; "access"; "database"; "domain"; "god";
      "backup"; "technical"; "mary"; "katie"; "kate"; "george"; "eric";
      "none"; "guest"; "chris"; "ian"; "neil"; "lee"; "brian"; "susan";
      "sue"; "sam"; "luke"; "peter"; "john"; "mike"; "bill"; "fred"; "joe";
      "jen"; "bob"; "wwwadmin"; "oemuser"; "user"; "homeuser"; "home";
      "internet"; "www"; "web"; "root"; "server"; "linux"; "unix";
      "computer"; "adm"; "admin"; "admins"; "administrat"; "administrateur";
      "administrador"; "administrator"

– Список паролей:
   • "winpass"; "blank"; "nokia"; "orainstall"; "sqlpassoainstall";
      "db1234"; "db2"; "db1"; "databasepassword"; "databasepass";
      "dbpassword"; "dbpass"; "domainpassword"; "domainpass"; "hello";
      "hell"; "love"; "money"; "slut"; "bitch"; "fuck"; "exchange";
      "loginpass"; "login"; "qwe"; "zxc"; "asd"; "qaz"; "win2000"; "winnt";
      "winxp"; "win2k"; "win98"; "windows"; "oeminstall"; "oem";
      "accounting"; "accounts"; "letmein"; "sex"; "outlook"; "mail";
      "qwerty"; "temp123"; "temp"; "null"; "default"; "changeme"; "demo";
      "test"; "2005"; "2004"; "2001"; "secret"; "payday"; "deadline";
      "work"; "1234567890"; "123456789"; "12345678"; "1234567"; "123456";
      "12345"; "1234"; "123"; "007"; "pwd"; "pass"; "pass1234"; "dba";
      "passwd"; "password"; "password1"; "abc"



Эксплойт:
Используется следующая брешь в безопасности:
– MS03-007 (непроверенный буфер в компоненте Windows)
– MS03-026 (Переполнение буфера RPC Interface)
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)
– MS05-039 (уязвимость в Plug and Play)


Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Процесс инфицирования:
На выбранном компьютере создается TFTP или FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

 IRC  Сервер: **********.149.54
Порт: 5111
Канал: #sluts
Имя: %случайная комбинация букв из восьми букв%



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • ID платформы
    • Информация о запущенных процессах
    • Объем памяти
    • Имя пользователя


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл
    • Произвести DDoS атаку
    • Загрузить файл

 Кража Попытка кражи следующей информации:

– Пароли следующих программ:
   • MSN Messenger
   • Outlook Express
   • World Of Warcraft
   • Unreal3
   • Steam
   • Conquer Online

– После набора на клавиатуре одной из следующих последовательностей символов запускается функция протоколирования:
   • "irc operator"; "paypal"; "paypal.com"; "cd key"; "cd-key"; "cdkey";
      "passwort"; "auth "; "sxt "; "login "; "pw="; "pass="; "login=";
      "password="; "username="; "passwd="; "auth"; "identify"; "oper";
      "MailPass"; "pass"; "unknown"; "user"

 Разное Мьютекс:
Создается мьютекс:
   • 25b30ddc0bd83e53a3935a2b5608f03d44f7


Строка:
Здесь содержатся следующие последовательности:
   • "rxbot_paradise"
   • "rxbot was here"

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • AS Protect 1.2

Описание добавил Catalin Jora в(о) вторник, 6 сентября 2005 г.
Описание обновил Catalin Jora в(о) четверг, 8 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.