Имя:Worm/Gobot.S
Обнаружен:22/11/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:~41.200 байт.
Версия VDF:6.26.00.56

 Общее Методы распространения:
   • Локальная сеть
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.Gobot.s
   •  TrendMicro: WORM_GOBOT.S
   •  F-Secure: W32/Agobot.AVU
   •  Sophos: W32/Gobot-C
   •  Bitdefender: Backdoor.Gabot.A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\%случайная буквенная комбинация%.exe



Создается файл:

%WINDIR%\setup.txt Файл содержит строки введенных с клавиатуры символов

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\%случайная буквенная комбинация%.exe
   • NPROTECT = %WINDIR%\%случайная буквенная комбинация%.exe
   • SMC = %WINDIR%\%случайная буквенная комбинация%.exe
   • NETUTILS = %WINDIR%\%случайная буквенная комбинация%.exe
   • NTXCONFIG = %WINDIR%\%случайная буквенная комбинация%.exe
   • LDNETMON = %WINDIR%\%случайная буквенная комбинация%.exe
   • CONNECTIONMONITOR = %WINDIR%\%случайная буквенная комбинация%.exe
   • NVSVC32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • AVSYNMGR = %WINDIR%\%случайная буквенная комбинация%.exe
   • ERICS = %WINDIR%\%случайная буквенная комбинация%.exe
   • NAVENGNAVEX15 = %WINDIR%\%случайная буквенная комбинация%.exe
   • NAV AUTO-PROTECT = %WINDIR%\%случайная буквенная комбинация%.exe
   • CPDCLNT = %WINDIR%\%случайная буквенная комбинация%.exe
   • MPFSERVICE = %WINDIR%\%случайная буквенная комбинация%.exe
   • MPFTRAY = %WINDIR%\%случайная буквенная комбинация%.exe
   • PORTMONITOR = %WINDIR%\%случайная буквенная комбинация%.exe
   • CPDCLNT = %WINDIR%\%случайная буквенная комбинация%.exe
   • VSHWIN32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • VSECOMR = %WINDIR%\%случайная буквенная комбинация%.exe
   • WEBSCANX = %WINDIR%\%случайная буквенная комбинация%.exe
   • TCMON = %WINDIR%\%случайная буквенная комбинация%.exe
   • ALOGSERV = %WINDIR%\%случайная буквенная комбинация%.exe
   • CMGRDIAN = %WINDIR%\%случайная буквенная комбинация%.exe
   • RULAUNCH = %WINDIR%\%случайная буквенная комбинация%.exe
   • DVP95 = %WINDIR%\%случайная буквенная комбинация%.exe
   • PROCESSMONITOR = %WINDIR%\%случайная буквенная комбинация%.exe
   • FRW = %WINDIR%\%случайная буквенная комбинация%.exe
   • NAVAP = %WINDIR%\%случайная буквенная комбинация%.exe
   • NAVAPW32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • DEFWATCH = %WINDIR%\%случайная буквенная комбинация%.exe
   • GENERICS = %WINDIR%\%случайная буквенная комбинация%.exe
   • NAVAPSVC = %WINDIR%\%случайная буквенная комбинация%.exe
   • NTVDM = %WINDIR%\%случайная буквенная комбинация%.exe
   • NAVWNT = %WINDIR%\%случайная буквенная комбинация%.exe
   • NAVLU32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • LUALL = %WINDIR%\%случайная буквенная комбинация%.exe
   • SWNETSUP = %WINDIR%\%случайная буквенная комбинация%.exe
   • ICLOAD95 = %WINDIR%\%случайная буквенная комбинация%.exe
   • TDS-3 = %WINDIR%\%случайная буквенная комбинация%.exe
   • ICMON = %WINDIR%\%случайная буквенная комбинация%.exe
   • ICSUPP95 = %WINDIR%\%случайная буквенная комбинация%.exe
   • IFACE = %WINDIR%\%случайная буквенная комбинация%.exe
   • ADVXDWIN = %WINDIR%\%случайная буквенная комбинация%.exe
   • PADMIN = %WINDIR%\%случайная буквенная комбинация%.exe
   • RAV7WIN = %WINDIR%\%случайная буквенная комбинация%.exe
   • WATCHDOG = %WINDIR%\%случайная буквенная комбинация%.exe
   • MINILOG = %WINDIR%\%случайная буквенная комбинация%.exe
   • P-WIN = %WINDIR%\%случайная буквенная комбинация%.exe
   • NDD32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • FNRB32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • NMAIN = %WINDIR%\%случайная буквенная комбинация%.exe
   • IAMSERV = %WINDIR%\%случайная буквенная комбинация%.exe
   • NPSCHECK = %WINDIR%\%случайная буквенная комбинация%.exe
   • AGENTW = %WINDIR%\%случайная буквенная комбинация%.exe
   • PERSFW = %WINDIR%\%случайная буквенная комбинация%.exe
   • PERSWF = %WINDIR%\%случайная буквенная комбинация%.exe
   • LOCKDOWN = %WINDIR%\%случайная буквенная комбинация%.exe
   • SPYXX = %WINDIR%\%случайная буквенная комбинация%.exe
   • WEBTRAP = %WINDIR%\%случайная буквенная комбинация%.exe
   • ATCON = %WINDIR%\%случайная буквенная комбинация%.exe
   • NPROTECT = %WINDIR%\%случайная буквенная комбинация%.exe
   • WGFE95 = %WINDIR%\%случайная буквенная комбинация%.exe
   • ZONEALARM = %WINDIR%\%случайная буквенная комбинация%.exe
   • VSMON = %WINDIR%\%случайная буквенная комбинация%.exe
   • AVKSERV = %WINDIR%\%случайная буквенная комбинация%.exe
   • MPFAGENT = %WINDIR%\%случайная буквенная комбинация%.exe
   • MPFSERVICE = %WINDIR%\%случайная буквенная комбинация%.exe
   • MPFTRAY = %WINDIR%\%случайная буквенная комбинация%.exe
   • PORTMONITOR = %WINDIR%\%случайная буквенная комбинация%.exe
   • VSHWIN32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • WEBSCANX = %WINDIR%\%случайная буквенная комбинация%.exe
   • VSSTAT = %WINDIR%\%случайная буквенная комбинация%.exe
   • PCCWIN98 = %WINDIR%\%случайная буквенная комбинация%.exe
   • ATUPDATE = %WINDIR%\%случайная буквенная комбинация%.exe
   • AVCONSOL = %WINDIR%\%случайная буквенная комбинация%.exe
   • NSCHED32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • KAVDOS32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • ESPWATCH = %WINDIR%\%случайная буквенная комбинация%.exe
   • NEOWATCHLOG = %WINDIR%\%случайная буквенная комбинация%.exe
   • AUTOTRACE = %WINDIR%\%случайная буквенная комбинация%.exe
   • AUTODOWN = %WINDIR%\%случайная буквенная комбинация%.exe
   • VETTRAY = %WINDIR%\%случайная буквенная комбинация%.exe
   • SAFEWEB = %WINDIR%\%случайная буквенная комбинация%.exe
   • VSCAN40 = %WINDIR%\%случайная буквенная комбинация%.exe
   • CFIADMIN = %WINDIR%\%случайная буквенная комбинация%.exe
   • LUCOMSERVE = %WINDIR%\%случайная буквенная комбинация%.exe
   • RVE = %WINDIR%\%случайная буквенная комбинация%.exe
   • TFAK = %WINDIR%\%случайная буквенная комбинация%.exe
   • VBCMSERV = %WINDIR%\%случайная буквенная комбинация%.exe
   • NWTOOL16 = %WINDIR%\%случайная буквенная комбинация%.exe
   • AVP32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • ANTI-TROJAN = %WINDIR%\%случайная буквенная комбинация%.exe
   • NWSERVICE = %WINDIR%\%случайная буквенная комбинация%.exe
   • CTRL = %WINDIR%\%случайная буквенная комбинация%.exe
   • NAVNT = %WINDIR%\%случайная буквенная комбинация%.exe
   • AVXMONITORNT = %WINDIR%\%случайная буквенная комбинация%.exe
   • AVPDOS32 = %WINDIR%\%случайная буквенная комбинация%.exe
   • AVPTC32 = %WINDIR%\%случайная буквенная комбинация%.exe

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Для определения стандартных папок для загрузки происходит обращение к реестру:
   • HKCU\Software\Kazaa\localcontent
   • HKCU\Software\Limewire
   • HKCU\Software\Shareaza
   • HKCU\Software\Morpheus
   • HKCU\Software\Xolox
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\edonkey2000

   При успешном завершении поиска создаются следующие файлы:
   • AIM_Account_Stealer_Crack.exe; AIM_Account_Stealer_Crack.exe;
      AIM_Account_Stealer_Full.exe; AIM_Account_Stealer_Full.exe;
      AIM_Account_Stealer_ISO_Full.exe;
      AIM_Account_Stealer_Key_Generator.exe; AIM_Account_Stealer_Patch.exe;
      AIM_Account_Stealer_Patch.exe; Cat_Attacks_Child_Crack.exe;
      Cat_Attacks_Child_Full.exe; Cat_Attacks_Child_ISO_Full.exe;
      Cat_Attacks_Child_ISO_Full.exe; Cat_Attacks_Child_Key_Generator.exe;
      Cat_Attacks_Child_Key_Generator.exe; Cat_Attacks_Child_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      DSL_Modem_Uncapper_Crack.exe; DSL_Modem_Uncapper_Crack.exe;
      DSL_Modem_Uncapper_Full.exe; DSL_Modem_Uncapper_Full.exe;
      DSL_Modem_Uncapper_ISO_Full.exe; DSL_Modem_Uncapper_ISO_Full.exe;
      DSL_Modem_Uncapper_Key_Generator.exe; DSL_Modem_Uncapper_Patch.exe;
      Hacking_Tool_Collection_Crack.exe; Hacking_Tool_Collection_Crack.exe;
      Hacking_Tool_Collection_Full.exe;
      Hacking_Tool_Collection_ISO_Full.exe;
      Hacking_Tool_Collection_Key_Generator.exe;
      Hacking_Tool_Collection_Patch.exe; Hacking_Tool_Collection_Patch.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Full.exe;
      Internet_and_Computer_Speed_Booster_ISO_Full.exe;
      Internet_and_Computer_Speed_Booster_Key_Generator.exe;
      Internet_and_Computer_Speed_Booster_Patch.exe;
      Macromedia_Flash_5.0_Crack.exe; Macromedia_Flash_5.0_Full.exe;
      Macromedia_Flash_5.0_ISO_Full.exe; Macromedia_Flash_5.0_ISO_Full.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Patch.exe;
      MSN_Password_Hacker_and_Stealer_Crack.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_ISO_Full.exe;
      MSN_Password_Hacker_and_Stealer_Key_Generator.exe;
      MSN_Password_Hacker_and_Stealer_Patch.exe; Windows_XP_Crack.exe;
      Windows_XP_Crack.exe; Windows_XP_Full.exe; Windows_XP_Full.exe;
      Windows_XP_ISO_Full.exe; Windows_XP_Key_Generator.exe;
      Windows_XP_Key_Generator.exe; Windows_XP_Patch.exe;
      ZoneAlarm_Firewall_Crack.exe; ZoneAlarm_Firewall_Full.exe;
      ZoneAlarm_Firewall_ISO_Full.exe; ZoneAlarm_Firewall_Patch.exe;
      ZoneAlarm_Firewall_Patch.exe

   Файлы являются копиями потенциально опасной программы

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используется следующая брешь в безопасности:
– Утилита удаленного администрирования Mydoom (порт 3127)

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: 217.160.**********.243
Порт: 6659
Канал: #GhostBot
Имя: %актуальное имя пользователя%%несколько произвольных чисел%
Пароль: x-bot6659



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Информация о сети
    • Объем памяти
    • Имя пользователя


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS SYN атаку
    • Загрузить файл
    • Запустить файл
    • Остановить процесс
    • Остановить процесс

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) среда, 23 ноября 2005 г.
Описание обновил Andrei Gherman в(о) четверг, 24 ноября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.