Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
???:Worm/RBot.328262
?????????:08/07/2005
???:?????
? ???????? ????????:???
?????????? ????? ?????????:??????
????????? ???????????????:???????
????????? ???????????:???????
???? ??????????:??
?????? ?????:558.080 ????.
??????????? ????? MD5:a36bf2770D4763d8f53ae224d9bcfb57
?????? VDF:6.31.0.172

 ????? ?????? ???????????????:
   • ????????? ????


????????? (alias):
   •  Sophos: W32/Tilebot-HD


???????????? ???????:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


???????????:
   • ????????? ???????
   • ?????????? ?????????? ??
   • ????????? ?????????????????? ???????????? ? ??????????

 ????? ????????? ??????????? ?????:
   • %WINDIR%\lsass.exe



????????? ????? ????? ??????????.
%SYSDIR%\ftp.exe
%SYSDIR%\tftp.exe



??????????? ????? ????????? ?????????.

 ?????? ??? ???????? ?????? ????? ???????????? ??????? ??????????? ????????? ????? ???????.

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="Spool SubSystem App"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Spool SubSystem App"



??????????? ????????? ????? ???????:

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Security
   • "Security"=%hex value%

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Enum
   • "0"="Root\\LEGACY_SPOOL_SUBSYSTEM_APP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000
   • "Service"="Spool SubSystem App"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Spool SubSystem App"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Spool SubSystem App"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "windns"=%??????? ????? ??????????? ?????????%\%??????????? ????%

 ??????? ????????????? ??????????? ????????? ???????? ?????????? ?????????? ? ?????? ??????????? ??? ????? ??????????? ???????????????. ??????????? ?????????? ?????.

????? ??????? ?????????? ? ????????? ??????? ??????? ?????? ???????:
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


????????:
???????????? ????????? ????? ? ????????????:
– MS02-061 (????????? ?????????? ? SQL Server Web)
– MS03-026 (???????????? ?????? RPC Interface)
– MS03-049 (???????????? ?????? Workstation Service)
– MS04-007 (?????????? ASN.1)
– MS04-011 (?????????? LSASS)


??????? ?????????????:
?? ????????? ?????????? ????????? FTP ??????. ?? ????????? ???????????? ??????? ????????? ?? ????????? ?????????.


????????? ?????????:
?????????????? ??????? ??????? ??????????? ????????? ?? ????? ?????????? ??????????. ??? ????????????? ? ??????? ??????? NetScheduleJobAdd.

 IRC ??? ???????? ????????? ?????????? ? ????????? ?????????? ?????????? ?????????? ??????????? ? IRC ???????:

??????: mail2.tik**********
????: 9632;7412
?????: #z#
???: [P00|USA|%????????? ?????????? ???? ?? ?????? ????%]
??????: m00



 ?????? ??????????? ????????? ???????? ???????? ? ?????????? ????????? ??????????:
    • ???????? ??????????
    • ??????? ????????????
    • ????????? ????? ?? ?????
    • ????????? ??????????? ??????
    • ????? ????? ??????????? ?????????
    • ?????????? ? ????
    • ?????????? ? ?????????? ?????????
    • ????? ??????
    • ?????????? ?? ???????????? ??????? Windows


 ??????????? ????????? ???????? ???????????? ????????? ????????? ????????:
     ?????? DDoS ICMP ?????
     ?????? DDoS SYN ?????
     ??????????? DDoS UDP ?????
    • ????????? ??????? ????? ?????? ???????
    • ????????? ????
    • ????????????? ??????
    • ?????????? ??????? ????? ?????? ???????
    • ????????? ????
    • ?????????? ???????
    • ???????? ?????????? ??????????
    • ?????????? DDoS ?????
     ???????? ????
    • ????????????? ????
    • ??????? ???????????? ??????? ?????????
     ??????????? ??????????????

 Backdoor ????????????? ?????????? ? ????????
?????????:
   • htp://www.littleworld.pe.kr/**********

??? ?????????? ? ??????? HTTP GET ??????? PHP ???????.

 ????????????? –  ????????? ???? ??????????? ? ???????: %SYSDIR%\sfc_os.dll

    ??? ????????? ????????:
   • %SYSDIR%\winlogon.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\spoolsv.exe


 ?????? ???????:
????????? ???????:
   • w7p5h9e5k7x5


???????????
??????????? ??????? ?????????? ?????:
   • \\.\NTICE



??????????? ?????:
??? ????????? ????????????? ????? ?????????? ? ????????? ???? ??????????? ???????? tcpip.sys. ???? ???? ????? ??????? ??????????? ??????????? ?? ??????? ? ????????? ????????????? ??????? ??????????.
??? ?????????? Windows File Protection (WFP) ????????? ????? ?????????????? ???? sfc_os.dll (Offset 0000E2B8). WFP ????????????? ??? ??????? ????????? ????????? ???????? ??????????????? DLL.

 ?????? ????? ???? ????????????????:
????????? ???? ???????? ?? MS Visual C++.


????????:
??? ?????????? ??????????? ? ?????????? ??????? ????? ?? ??? ????????? ????????? ??????????:

Описание добавил Bogdan Iliuta в(о) пятница, 13 октября 2006 г.
Описание обновил Andrei Gherman в(о) вторник, 21 ноября 2006 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.