Имя:Worm/Mocbot.A
Обнаружен:17/03/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:7.846 байт.
Контрольная сумма MD5:996c9c3a01c9567915212332fe5c1264
Версия VDF:6.34.00.64

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Mcafee: IRC-Mocbot
   •  Kaspersky: Backdoor.Win32.Mocbot.a
   •  TrendMicro: WORM_MOCBOT.A
   •  Sophos: W32/Cuebot-G
   •  Bitdefender: Backdoor.Mocbot.A

Ранее были обнаружены как:
   •  BDS/Mocbot.A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Использует уязвимость ПО

 Файлы Создается собственная копия:
   • %SYSDIR%\wudpcom.exe



Выполненная копия программы удаляется.

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\wudpcom
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\wudpcom.exe
   • "DisplayName"="Windows UDP Communication"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%шестнадцатиричное значение%
   • "Description"="Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to st"



Изменяются следующие ключи реестра:

– HKLM\SOFTWARE\Microsoft\Ole
   Прежнее значение:
   • "EnableDCOM"=%Настройки пользователя%
   Новое значение:
   • "EnableDCOM"="n"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Прежнее значение:
   • "restrictanonymous"=%Настройки пользователя%
   Новое значение:
   • "restrictanonymous"=dword:00000001

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используется следующая брешь в безопасности:
– MS05-039 (уязвимость в Plug and Play)

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: bbjj.house**********
Порт: 18067
Канал: #p7
Имя: p7-%случайная комбинация букв из восьми букв%
Пароль: nsja5rqf

Сервер: ypgw.wall**********
Порт: 18067
Канал: #p7
Имя: p7-%случайная комбинация букв из восьми букв%
Пароль: nsja5rqf


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS SYN атаку
    • Запускается DDoS TCP атака
    • Запускается DDoS UDP атака
    • Загрузить файл
    • Запустить файл
    • Запуск процедуры распространения

 Разное Мьютекс:
Создается мьютекс:
   • wudpcom

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • MEW

Описание добавил Irina Boldea в(о) понедельник, 27 февраля 2006 г.
Описание обновил Irina Boldea в(о) понедельник, 20 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.