Имя:Worm/Domwoot.A
Обнаружен:02/04/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:86.681 байт.
Контрольная сумма MD5:430720d43f3cbc50ebff844ef45211f3
Версия VDF:6.34.00.127

 Общее Методы распространения:
   • Email
   • Локальная сеть


Псевдонимы (аliases):
   •  Kaspersky: Net-Worm.Win32.Domwoot.a
   •  Bitdefender: Win32.Worm.Mytob.X.Gen


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\svchosts.exe

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Win32 Driver"="svchosts.exe"



Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"=hex(2):"%SYSDIR%\svchosts.exe" -netsvcs
   • "DisplayName"="Win32 Driver"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:%шестнадцатиричное значение%
   • "DeleteFlag"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
   • "Security"=hex:%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
   • "0"="Root\\LEGACY_SHIT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
   • "Service"="shit"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Win32 Driver"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="shit"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса


Тема:
Одно из следующих:
   • Notice of account limitation
   • Email Account Suspension
   • Security measures
   • You are banned!!!
   • We have suspended your account
   • Members Support
   • Important Notification
   • Warning Message: Your services near to be closed.
   • Your Account is Suspended For Security Reasons
   • *DETECTED* Online User Violation
   • *WARNING* Your email account is suspended
   • Your Account is Suspended

Тема письма может содержать случайные знаки.


Тело:
– Содержит HTML код.
Тело письма имеет один из следующих видов:

   • Dear %доменная часть электронного адреса получателя% Member,
     
     We have temporarily suspended your email account %Электронный адрес получателя%.
     
     This might be due to either of the following reasons:
     
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the attached details to reactivate your %доменная часть электронного адреса получателя% account.
     
     Sincerely,The %доменная часть электронного адреса получателя% Support Team

   • Dear %доменная часть электронного адреса получателя% Member,
     
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     Virtually yours,
     The %доменная часть электронного адреса получателя% Support Team

   • Some information about your %доменная часть электронного адреса получателя% account is attached.
     
     The %доменная часть электронного адреса получателя% Support Team


Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

–  Случайная последовательность символов
   • readme
   • document
   • account-report
   • account-info
   • account-details
   • email-details
   • important-details
   • information

    Одно из следующих расширений файла:
   • zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm


Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • admin
   • info
   • service
   • support
   • webmaster
   • register
   • mail
   • accounts
   • administrator

Комбинируется с обнаруженным в файлах системы доменным именем.


Создание адресов получателя:
Для генерации адресов применяются следующие строки:
   • adam; alex; andrew; anna; bill; bob; brenda; brent; brian; claudia;
      dan; dave; david; debby; frank; fred; george; helen; jack; james;
      jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin; leo;
      linda; maria; mary; matt; michael; mike; paul; peter; ray; robert;
      sales; sam; sandra; serg; smith; stan; steve; ted; tom

Комбинируется с обнаруженным в файлах системы доменным именем.


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; berkeley; borlan; bsd; bugs; certific; contact; example;
      fcz; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.; help;
      hotmail; iana; ibm.com; icrosof; icrosoft; ietf; info; inpris; isc.o;
      isi.e; kernel; linux; listserv; math; mit.e; mozilla; msn.; mydomai;
      nobody; nodomai; noone; not; nothing; ntivi; page; panda; pgp;
      postmaster; privacy; rating; rfc-ed; ripe.; root; ruslis; samples;
      secur; sendmail; service; site; soft; somebody; someone; sopho; spam;
      submit; support; syma; tanford.e; the.bat; unix; usenet; utgers.ed;
      webmaster; www; you; your


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Сетевое инфицирование Эксплойт:
Используются следующие бреши в безопасности:
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: irc.acidphreaks.**********
Порт: 6667
Канал: #g4



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Объем памяти
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS UDP атака
    • Отключить сетевые папки общего доступа
    • Загрузить файл
    • Проверка сети
    • Перенаправить порт
    • Перезапустить систему
    • Отправить электронную почту
    • Загрузить файл

 Backdoor Открывается порт:

– svchosts.exe к произвольному TCP порту для обеспечения FTP сервера.

 Кража Попытка кражи следующей информации:

– Проверяется сетевой трафик. Поиск следующих последовательностей символов:
   • :.secure; :!advscan; :.advscan; :.ipscan; :!ident; :.ident; :.Login;
      :!Login; :!login; :.login; oper; NICK; OPER; PASS; USER; paypal.com;
      PAYPAL.COM; account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=;
      card=; cctype=; ccnumber=; amex=; visa=; mastercard=; VISA=; pass=;
      login=; password=; passwd=; PAYPAL; paypal

 Разное Сетевые папки общего доступа:
Удаляются следующие сетевые диски общего пользования:
   • admin$
   • ipc$
   • d$
   • c$


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • nspack

Описание добавил Iulia Diaconescu в(о) понедельник, 3 апреля 2006 г.
Описание обновил Iulia Diaconescu в(о) понедельник, 3 апреля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.