Имя:Worm/IRCBot.GT
Обнаружен:20/09/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:174.080 байт.
Контрольная сумма MD5:0AC7EE395802E4B3D25D6755E7F2C9D2
Версия VDF:6.32.0.17

 Общее Метод распространения:
   • Локальная сеть


Псевдоним (alias):
   •  Kaspersky: Backdoor.Win32.IRCBot.gt


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\sys32.pif



Выполненная копия программы удаляется.

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Security"="sys32.pif"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows System Security"="sys32.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Security"="sys32.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows System Security"="sys32.pif"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "Windows System Security"="sys32.pif"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "Windows System Security"="sys32.pif"

– [HKCU\Software\Microsoft\OLE]
   • "Windows System Security"="sys32.pif"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "Windows System Security"="sys32.pif"

– [HKCR\.key]
   • @="regfile"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • D:\
   • C:\
   • ADMIN$
   • IPC$


Эксплойт:
Используются следующие бреши в безопасности:
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-007 (Уязвимость ASN.1)
– MS05-039 (уязвимость в Plug and Play)


Генарация IP адресов:
Создаются случайные IP адреса. Первый блок созданного IP адреса совпадает с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.


Снижение скорости:
–Создается множество инфицирующих программных потоков.
– В зависимости от пропускной способности Вашего канала возможна незначительная потеря производительности. Из-за недостаточно сильной сетевой активности данной вредоносной программы пользователь может и не заметить этого изменения.
– Из-за большого числа запущенных процессов инфицированный компьютер работает медленнее и практически перестает быть управляемым.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: win32.**********.updates32.biz
Порт: 65528
Пароль сервера: gringle
Канал: #wtfz#
Имя: %случайная буквенная комбинация%
Пароль: shabby123

Сервер: win32.**********.security32.biz
Порт: 4654
Пароль сервера: gringle
Канал: #wtfz#
Имя: %случайная буквенная комбинация%
Пароль: shabby123

Сервер: win32.**********.security32.biz
Порт: 4564
Пароль сервера: gringle
Канал: #wtfz#
Имя: %случайная буквенная комбинация%
Пароль: shabby123

Сервер: win32.**********.updates32.biz
Порт: 65529
Пароль сервера: gringle
Канал: #wtfz#
Имя: %случайная буквенная комбинация%
Пароль: shabby123



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • Информация о запущенных процессах
    • Объем памяти
    • Системная папка
    • Имя пользователя
    • папка Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS TCP атака
    • Запускается DDoS UDP атака
    • Отключить DCOM
    • Отключить сетевые папки общего доступа
    • Загрузить файл
    • Редактировать реестр
    • Включить DCOM
    • Подключить сетевые папки общего доступа
    • Запустить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Покинуть чат-комнату IRC
    • Открытие удаленного интерфейса
    • Произвести DDoS атаку
    • Проверка сети
    • Запуск программы контроля клавиатуры
    • Остановить процесс
    • Обновляется самостоятельно
    • Загрузить файл

 Разное Мьютекс:
Создается мьютекс:
   • sizxlss

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • ASProtect 1.2x

Описание добавил Andrei Gherman в(о) вторник, 20 сентября 2005 г.
Описание обновил Andrei Gherman в(о) четверг, 22 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.