Имя:Worm/Rbot.95744.12
Обнаружен:09/11/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:95.744 байт.
Контрольная сумма MD5:b8e07b509594509af0d671c79176ff9c
Версия VDF:6.32.00.123

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Spybot.Worm
   •  Sophos: W32/Rbot-AWZ
   •  Bitdefender: Backdoor.RBot.0EA93F88


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\winzbp.exe

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinZap Check" = "winzbp.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "WinZap Check" = "winzbp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinZap Check" = "winzbp.exe"

 Сетевое инфицирование Используются следующие бреши в безопасности:
– MS03-026 (Переполнение буфера RPC Interface)
– MS04-011 (Уязвимость LSASS)

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: irc.thev**********.biz
Порт: 14478
Канал: #.lala.#
Имя: USA|%случайная комбинация из шести букв%
Пароль: lala



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Кэшированные пароли
    • Сохранение снимков веб-камеры
    • Текущий пользователь
    • Информация о сети
    • Информация о запущенных процессах
    • Имя пользователя
    • Локальная активность пользователя
    • Информация об операционной системе Windows
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS UDP атака
    • Отключить сетевые папки общего доступа
    • Загрузить файл
    • Редактировать реестр
    • Подключить сетевые папки общего доступа
    • Запустить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Произвести DDoS атаку
    • Проверка сети
    • Перенаправить порт
    • Регистрация службы
    • Перезапустить систему
    • Отправить электронную почту
    • Запуск процедуры распространения
    • Остановить процесс
    • Обновляется самостоятельно
    • Загрузить файл
    • Посещение веб-страницы

 Завершение процесса Список завершаемых процессов:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe"; irun4.exe; MSBLAST.exe;
      msblast.exe; msconfig.exe; mscvb32.exe; navapw32.exe; navw32.exe;
      netstat.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; regedit.exe;
      ssate.exe; sysinfo.exe; SysMonXP.exe; teekids.exe;
      wincfg32.exetaskmon.exe; winsys.exe; winupd.exe; zapro.exe;
      zonealarm.exe


 Кража Попытка кражи следующей информации:

– CD ключи:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command and Conquer: Generals; Command and Conquer: Generals (Zero
      Hour); Command and Conquer: Red Alert; Command and Conquer: Red Alert
      2; Command and Conquer: Tiberian Sun; Counter-Strike (Retail); FIFA
      2002; FIFA 2003; Half-Life; Hidden & Dangerous 2; IGI 2: Covert
      Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of Honor:
      Allied Assault; Medal of Honor: Allied Assault: Breakthrough; Medal of
      Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar Racing
      2003; Need For Speed Hot Pursuit 2; Need For Speed: Underground;
      Neverwinter Nights; Neverwinter Nights (Hordes of the Underdark);
      Neverwinter Nights (Shadows of Undrentide); NHL 2002; NHL 2003;
      Rainbow Six III RavenShield; Shogun: Total War: Warlord Edition;
      Soldier of Fortune II - Double Helix; Soldiers Of Anarchy; The
      Gladiators; Unreal Tournament 2003

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующими паковщиками:
   • PolyCript
   • ASPack

Описание добавил Iulian Popa в(о) четверг, 10 ноября 2005 г.
Описание обновил Andrei Ivanes в(о) четверг, 17 ноября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.