Имя:Worm/Akbot.22568.B
Обнаружен:06/10/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:22.568 байт.
Контрольная сумма MD5:67871e358250326e2d5abc669516dfe9
Версия VDF:6.36.00.80
Версия IVDF:6.36.00.96 - четверг, 12 октября 2006 г.

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.Akbot.j
   •  TrendMicro: BKDR_AKBOT.AS
   •  F-Secure: Backdoor.Win32.Akbot.j
   •  Sophos: W32/Akbot-AG


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Создает файл
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\ltssvc.dll



Создается файл:

%TEMPDIR%\uninstall.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ltssvc"="rundll32.exe %SYSDIR%\ltssvc.dll,start"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используются следующие бреши в безопасности:
– MS04-007 (Уязвимость ASN.1)
– MS06-040 (Уязвимость в серверной службе)

 Хосты Хост файл изменяется следующим образом:

– В этом случае удаляются существующие строки.

– Успешно блокирован доступ к следующим доменам:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      update.microsoft.com; www.virustotal.com; virustotal.com;
      www.ahnlab.com; suc.ahnlab.com; auth.ahnlab.com; ahnlab.com




Модифицированный хост-файл выглядит следующим образом:


 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://net.phatnet.**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Передает информацию о:
    • Скорость процессора
    • Текущий пользователь
    • Свободная оперативная память
    • IP адрес


Возможности удаленного контроля:
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS UDP атака

 Разное Мьютекс:
Создается мьютекс:
   • lite.3

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • Petite

Описание добавил Adriana Popa в(о) вторник, 7 ноября 2006 г.
Описание обновил Adriana Popa в(о) вторник, 7 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.