Имя:Worm/Aimbot.158720
Обнаружен:08/09/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:158.720 байт.
Контрольная сумма MD5:82B7C1BCD80C7B8D07DF6B1D005EBEB1
Версия VDF:6.31.01.134

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Mcafee: W32/Spybot.worm.gen.o
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: WORM_AGOBOT.AVX
   •  Bitdefender: Trojan.Pakes.Y


Операционные системы:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует уязвимость ПО
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\Internet.exe



Выполненная копия программы удаляется.

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Micrcoft Updat"="Internet.exe"



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\OLE]
   • "Micrcoft Updat"="Internet.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Micrcoft Updat"="Internet.exe"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • IPC$
   • ADMIN$
   • C$


Эксплойт:
Используются следующие бреши в безопасности:
– MS03-026 (Переполнение буфера RPC Interface)
– MS04-011 (Уязвимость LSASS)


Генарация IP адресов:
Создаются случайные IP адреса. Первый блок созданного IP адреса совпадает с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Процесс инфицирования:
На выбранном компьютере создается TFTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.


Снижение скорости:
– Создается следующее количество инфицирующих программных потоков: 300
– В зависимости от пропускной способности Вашего канала возможна незначительная потеря производительности. Из-за недостаточно сильной сетевой активности данной вредоносной программы пользователь может и не заметить этого изменения.
– Есть вероятность незначительного уменьшения скорости. Причиной может явиться большое число запущенных процессов.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: fuckrx.**********end.net
Порт: 2001
Канал: #MoTjWeL# moting
Имя: [%случайная буквенная комбинация%]|%случайная комбинация из пяти букв%



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Сохранение содержимого экрана
    • Сохранение снимков веб-камеры
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Объем памяти
    • Системная папка
    • Имя пользователя
    • папка Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS TCP атака
    • Запускается DDoS UDP атака
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Проверка сети

 Backdoor Открываются следующие порты:

%SYSDIR%\Internet.exe к произвольному TCP порту для обеспечения FTP сервера.
%SYSDIR%\Internet.exe по UDP порту 69 для обеспечения TFTP сервера.

 Кража Попытка кражи следующей информации:
– Windows Produkt ID

– CD ключи:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights"; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Tiberian Sun; Rainbow Six III
      RavenShield; Nascar Racing 2003; Nascar Racing 2002; NHL 2003; NHL
      2002; FIFA 2003; FIFA 2002; Shogun: Total War: Warlord Edition; Need
      For Speed: Underground; Need For Speed Hot Pursuit 2; Medal of Honor:
      Allied Assault: Spearhead; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault; Command and Conquer:
      Generals; James Bond 007: Nightfire; Command and Conquer: Generals
      (Zero Hour); Black and White; Battlefield Vietnam; Battlefield 1942
      (Secret Weapons of WWII); Battlefield 1942 (Road To Rome); Battlefield
      1942; Freedom Force; IGI 2: Covert Strike; Unreal Tournament 2004;
      Unreal Tournament 2003; Soldiers Of Anarchy; Legends of Might and
      Magic; Industry Giant 2; Half-Life; Gunman Chronicles; The Gladiators;
      Counter-Strike (Retail)

– Проверяется сетевой трафик. Поиск следующих последовательностей символов:
   • : auth; : login; :!auth; :!hashin; :!login; :!secure; :!syn; :$auth;
      :$hashin; :$login; :$syn; :%auth; :%hashin; :%login; :%syn; :&auth;
      :&login; : auth; : login; :,auth; :,login; :.auth; :.hashin; :.login;
      :.secure; :.syn; :/auth; :/login; :?auth; :?login; :@auth; :@login;
      :\auth; :\login; :~auth; :~login; :+auth; :+login; :=auth; :=login;
      :'auth; :-auth; :'login; :-login; paypal; PAYPAL; paypal.com;
      PAYPAL.COM

 Разное Мьютекс:
Создается мьютекс:
   • [MoTjWeL]

Описание добавил Dragos Tomescu в(о) четверг, 8 сентября 2005 г.
Описание обновил Oliver Auerbach в(о) четверг, 13 апреля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.