Имя:Worm/IRCBot.50176
Обнаружен:19/08/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:50.176 байт.
Контрольная сумма MD5:a0a9e853b4ca1b2b66c39a44e374a25e
Версия VDF:6.31.01.146

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.Rbot.yb
   •  TrendMicro: WORM_RBOT.CKK
   •  Sophos: W32/KBBot-A
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.SDBot.DEA


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\wnsvc.exe



Выполненная копия программы удаляется.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WN Services"="wnsvc.exe"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используется следующая брешь в безопасности:
– MS04-007 (Уязвимость ASN.1)


Генарация IP адресов:
Создаются случайные IP адреса. Первый блок созданного IP адреса совпадает с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Процесс инфицирования:
На выбранном компьютере создается TFTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: micro.nun**********
Порт: 6564
Пароль сервера: cheezw00p
Канал: #&robots
Имя: \%случайная комбинация букв из семи букв%
Пароль: koolbotz

Сервер: micro.leet**********
Порт: 6564
Пароль сервера: cheezw00p
Канал: #&scanning
Имя: \%случайная комбинация букв из семи букв%
Пароль: koolbotz



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Информация о драйвере
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • Информация о запущенных процессах
    • Объем памяти
    • Имя пользователя
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS TCP атака
    • Запускается DDoS UDP атака
    • Загрузить файл
    • Запустить файл
    • Остановить процесс
    • Произвести DDoS атаку
    • Проверка сети
    • Запуск процедуры распространения
    • Закрыть потенциально опасную программу
    • Остановить процесс
    • Обновляется самостоятельно

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Irina Boldea в(о) четверг, 11 мая 2006 г.
Описание обновил Irina Boldea в(о) четверг, 11 мая 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.