Имя:Worm/RBot.328262
Обнаружен:08/07/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:558.080 байт.
Контрольная сумма MD5:a36bf2770D4763d8f53ae224d9bcfb57
Версия VDF:6.31.0.172

 Общее Методы распространения:
   • Локальная сеть


Псевдоним (alias):
   •  Sophos: W32/Tilebot-HD


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Последствия:
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\lsass.exe



Следующие файлы будут переписаны.
%SYSDIR%\ftp.exe
%SYSDIR%\tftp.exe



Выполненная копия программы удаляется.

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="Spool SubSystem App"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Spool SubSystem App"



Добавляются следующие ключи реестра:

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Security
   • "Security"=%hex value%

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Enum
   • "0"="Root\\LEGACY_SPOOL_SUBSYSTEM_APP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000
   • "Service"="Spool SubSystem App"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Spool SubSystem App"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Spool SubSystem App"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "windns"=%Рабочая папка вредоносной программы%\%выполненный файл%

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


Эксплойт:
Используются следующие бреши в безопасности:
– MS02-061 (повышение привилегий в SQL Server Web)
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.


Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: mail2.tik**********
Порт: 9632;7412
Канал: #z#
Имя: [P00|USA|%случайная комбинация букв из восьми букв%]
Пароль: m00



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • Информация о запущенных процессах
    • Объем памяти
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS UDP атака
    • Отключить сетевые папки общего доступа
    • Загрузить файл
    • Редактировать реестр
    • Подключить сетевые папки общего доступа
    • Запустить файл
    • Остановить процесс
    • Открытие удаленного интерфейса
    • Произвести DDoS атаку
    • Проверка сети
    • Перенаправить порт
    • Закрыть потенциально опасную программу
    • Обновляется самостоятельно

 Backdoor Устанавливает соединение с сервером
Следующий:
   • htp://www.littleworld.pe.kr/**********

Это происходит с помощью HTTP GET запроса PHP скрипта.

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\sfc_os.dll

    Все следующие процессы:
   • %SYSDIR%\winlogon.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\spoolsv.exe


 Разное Мьютекс:
Создается мьютекс:
   • w7p5h9e5k7x5


Антиотладка
Проверяется наличие следующего файла:
   • \\.\NTICE



Модификация файла:
Для повышения максимального числа соединений у программы есть восможность изменить tcpip.sys. Этот файл может оказать вредоносное воздействие на систему и разорвать установленное сетевое соединение.
Для отключения Windows File Protection (WFP) программа может модифицировать файл sfc_os.dll (Offset 0000E2B8). WFP предназначена для решения некоторых известных проблемы несовместимости DLL.

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Bogdan Iliuta в(о) пятница, 13 октября 2006 г.
Описание обновил Andrei Gherman в(о) вторник, 21 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Все права защищены.

Мой Аккаунт

https:// Это окно зашифровано для вашей безопасности.