Имя:Worm/Poebot.K
Обнаружен:30/09/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:53.521 байт.
Контрольная сумма MD5:40010cc1ca2d123d654f0163830d398c
Версия VDF:6.36.00.70
Версия IVDF:6.36.00.84 - понедельник, 9 октября 2006 г.

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.PoeBot.k
   •  F-Secure: Backdoor.Win32.PoeBot.k
   •  Grisoft: IRC/BackDoor.SdBot2.JJN
   •  Eset: Win32/Poebot
   •  Bitdefender: Backdoor.RBot.HES


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создает собственные копии с именами файлов из списков
– Кому: %SYSDIR%\ С одним из следующих имен:
   • csrs.exe
   • logon.exe
   • explorer.exe
   • supoolsvc.exe
   • lsass.exe
   • algs.exe
   • iexplore.exe
   • winamp.exe
   • firewall.exe
   • lssas.exe
   • winIogon.exe
   • spooIsv.exe
   • spoolsvc.exe




Выполненная копия программы удаляется.



Создается файл:

%Рабочая папка вредоносной программы%\%случайная буквенная комбинация%.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
   • "Local Security Authority Service"="%SYSDIR%\lsass.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe
   • "Local Security Authority Service"="%SYSDIR%\lssas.exe"
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spooIsvc.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Следующий список имен пользователей:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– Список паролей:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
      databasepassword; databasepass; dbpassword; dbpass; domainpassword;
      domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
      loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
      win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
      outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
      test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
      pass; pass1234; dba; passwd; password; password1; abc



Эксплойт:
Используются следующие бреши в безопасности:
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-011 (Уязвимость LSASS)
– MS05-039 (уязвимость в Plug and Play)


Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: bignato5hg.**********
Порт: 1863
Канал: #soundblaster
Имя: i-%случайная буквенная комбинация%

Сервер: mine.ISDON4.**********
Порт: 1863
Канал: #soundblaster
Имя: i-%случайная буквенная комбинация%



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Информация о драйвере
    • Свободное место на диске
    • Свободная оперативная память
    • Информация о сети
    • Объем памяти
    • Имя пользователя
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS SYN атаку
    • Загрузить файл
    • Проверка сети

 Кража Попытка кражи следующей информации:
– Используемые функцией AutoComplete пароли

– CD ключи:
   • World Of Warcraft
   • Unreal3
   • Steam
   • Conquer Online

– Пароли следующих программ:
   • FlashFXP
   • OutlookExpress
   • MSN

– После набора на клавиатуре одной из следующих последовательностей символов запускается функция протоколирования:
   • paypal; cd key; cd-key; cdkey; passwort; auth; sxt; login; pw=; pass=;
      login=; password=; username=; passwd=; :auth; identify; oper;
      MailPass; pass; unknown; user

– Протоколируется:
    • Нажатие клавиш

– Запуск функции протоколирования при посещении веб-страницы со следующей последовательностью в URL:
   • paypal.com

– Протоколируется:
    • Регистрационная информация

 Разное Мьютекс:
Создается мьютекс:
   • c2301097005ee0617399022b8f519763a06d

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Adriana Popa в(о) среда, 13 декабря 2006 г.
Описание обновил Adriana Popa в(о) понедельник, 18 декабря 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.