Имя:Worm/Aimbot.EQ
Обнаружен:13/10/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:1.184.256 байт.
Контрольная сумма MD5:5fab5a579a0Af582d3a9b99454727125
Версия VDF:6.35.01.101
Версия IVDF:6.35.01.102 - среда, 16 августа 2006 г.

 Общее Методы распространения:
   • Локальная сеть
   • Messenger


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.Aimbot.eq
   •  TrendMicro: WORM_RBOT.UV
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.Aimbot.EQ


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию

 Файлы Создается собственная копия:
   • %WINDIR%\mde.exe



Создается файл:

%SYSDIR%\drivers\oreans32.sys После полного завершения процесса создания он запускается на выполнение.

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="oreans32"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– AIM Messenger

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • C$
   • D$


Эксплойт:
Используются следующие бреши в безопасности:
– MS04-007 (Уязвимость ASN.1)
– MS05-039 (уязвимость в Plug and Play)


Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Снижение скорости:
– Есть вероятность уменьшения скорости. Причиной может явиться большое число запущенных процессов.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: irc.fucknet.**********
Порт: 6667
Канал: #~#
Имя: [P00|USA|8%случайная комбинация из четырех букв%]
Пароль: !@#


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Проверка сети
    • Отправить электронную почту

 Кража Попытка кражи следующей информации:
– Windows Produkt ID

– Проверяется сетевой трафик. Поиск следующей последовательности символов:
   • :!x

 Разное Мьютекс:
Создается мьютекс:
   • %случайная комбинация из пяти букв%


Антиотладка
Проверяется активность следующей программы:
   • SoftIce

При успешном выполнении вредоносная программа закрывается.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Monica Ghitun в(о) понедельник, 16 октября 2006 г.
Описание обновил Monica Ghitun в(о) среда, 1 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.