Имя:Worm/RBot.71617
Обнаружен:15/12/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:71.617 байт.
Контрольная сумма MD5:7e98cedd83cb0B2ccfe51c16bce86557
Версия VDF:6.33.00.28

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  TrendMicro: WORM_SDBOT.DFH
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Sophos: W32/Tilebot-CM
   •  Panda: W32/Sdbot.EKF.worm
   •  VirusBuster: Worm.RBot.DFU
   •  Bitdefender: Backdoor.Sdbot.F445.A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\comctsvc.exe




Попытка загрузки следующих файлов:

– Следующие URL:
   • ftp.ea.com/pub/ea/patches/nfs/nfs-cd.zip
   • ftp.osc.edu/pub/bpowell/oscttssh.exe
   • ftp.ncsa.uiuc.edu/Mac/QuickTime/RealTime1.sea.bin
   • ftp.aol.com/aim/java/aim.exe
   • ftp.symantec.com/public/hungarian/liveupdate/lusetup.exe
   • download.nvidia.com/video/NVIDIA_EuroNews_English.wmv
   • ftp.demon.co.uk
   • space.mit.edu
   • ftp.gactr.uga.edu
   • ftp.novell.com
   • tsx-11.mit.edu

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "comctsvc" = "%WINDIR%\comctsvc.exe"



Добавляются следующие ключи реестра:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "bftyb" = %hex value%

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001



Изменяются следующие ключи реестра:

– HKLM\SYSTEM\CurrentControlSet\Control
   Прежнее значение:
   • "WaitToKillServiceTimeout"=%Настройки пользователя%
   Новое значение:
   • "WaitToKillServiceTimeout"="7000"

– HKLM\SOFTWARE\Microsoft\Security Center
   Прежнее значение:
   • "UpdatesDisableNotify"=%Настройки пользователя%
   • "AntiVirusDisableNotify"=%Настройки пользователя%
   • "FirewallDisableNotify"=%Настройки пользователя%
   • "AntiVirusOverride"=%Настройки пользователя%
   • "FirewallOverride"=%Настройки пользователя%
   Новое значение:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Отключение Windows Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Прежнее значение:
   • "EnableFirewall"=%Настройки пользователя%
   Новое значение:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Прежнее значение:
   • "AUOptions"=%Настройки пользователя%
   Новое значение:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Прежнее значение:
   • "restrictanonymous"=%Настройки пользователя%
   Новое значение:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Прежнее значение:
   • "AutoShareWks"=%Настройки пользователя%
   • "AutoShareServer"=%Настройки пользователя%
   Новое значение:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Ole
   Прежнее значение:
   • "EnableDCOM"=%Настройки пользователя%
   Новое значение:
   • "EnableDCOM"="N"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • IPC$
   • d$\windows\system32
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Список имен пользователей и паролей:
   • aaaa; aaa; abc; asd; asdf; qwerty; qwert; 321; 54321; 12345; 1234;
      123; test; backup; user; guest; Rin; Yuka; Mitsuki; Moe; Miyu; Riko;
      Miu; Nanami; Aoi; Misaki; Daiki; Kenta; Kaito; Sota; Shota; Ren; Sho;
      Takumi; Shun; elizabeth; samantha; ashley; isabella; hannahabigail;
      olivia; madison; emma; emily; christopher; joseph; william; daniel;
      andrew; ethan; matthew; joshua; michael; jacob; root; serv; Server;
      server; Test; Backup; User; Guest; Admin; admin; Administrator;
      administrator



Эксплойт:
Используются следующие бреши в безопасности:
– MS02-061 (повышение привилегий в SQL Server Web)
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-039 (Переполнение буфера RPCSS Service)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)
– MS05-039 (уязвимость в Plug and Play)


Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.


Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: bitchplz.**********
Порт: 8035
Канал: #haqr
Имя: [USA]-%случайная комбинация из пяти букв%
Пароль: :|

Сервер: wtfchinks.**********
Порт: 8035
Канал: #haqr
Имя: [USA]-%случайная комбинация из пяти букв%
Пароль: :|



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Кэшированные пароли
    • Собранные электронные адреса
    • Скорость процессора
    • Текущий пользователь
    • Информация о драйвере
    • Свободное место на диске
    • Свободная оперативная память
    • Информация о сети
    • Информация о запущенных процессах
    • Объем памяти
    • Имя пользователя
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Отключить сетевые папки общего доступа
    • Загрузить файл
    • Подключить сетевые папки общего доступа
    • Запустить файл
    • Остановить процесс
    • Произвести DDoS атаку
    • Проверка сети
    • Перенаправить порт
    • Обновляется самостоятельно
    • Загрузить файл

 Завершение процесса  Список завершаемых служб:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

 Разное Мьютекс:
Создается мьютекс:
   • 357268

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Irina Boldea в(о) вторник, 11 апреля 2006 г.
Описание обновил Irina Boldea в(о) пятница, 14 апреля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.