Полное описание

Имя:	Worm/Rbot.174080.17
Обнаружен:	10/01/2007
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	174.080 байт.
Контрольная сумма MD5:	e91667e7223781232714025c739361d4
Версия VDF:	6.36.00.213
Версия IVDF:	6.36.00.237 - воскресенье, 5 ноября 2006 г.

Общее Метод распространения:
   • Локальная сеть

Псевдонимы (аliases):
   • Kaspersky: Backdoor.Win32.Rbot.gen
   • Grisoft: IRC/BackDoor.SdBot2.KSK

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %SYSDIR%\%случайная комбинация букв из семи букв%.exe

Выполненная копия программы удаляется.

Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Windows Update"="%случайная комбинация букв из семи букв%.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft Windows Update"="%случайная комбинация букв из семи букв%.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Windows Update"="%случайная комбинация букв из семи букв%.exe"

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • C$
   • D$
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$

Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

–Закэшированные имена пользователей и пароли.

– Список имен пользователей и паролей:
   • administrator; administrador; administrateur; administrat; admins;
      admin; staff; root; computer; owner; student; teacher; wwwadmin;
      guest; default; database; dba; oracle; db2; administrator;
      administrador; administrateur; administrat; admins; admin; adm;
      password1; password; passwd; pass1234; pass; pwd; 007; 123; 1234;
      12345; 123456; 1234567; 12345678; 123456789; 1234567890; 2000; 2001;
      2002; 2003; 2004; test; guest; none; demo; unix; linux; changeme;
      default; system; server; root; null; qwerty; mail; outlook; web; www;
      internet; accounts; accounting; home; homeuser; user; oem; oemuser;
      oeminstall; windows; win98; win2k; winxp; winnt; win2000; qaz; asd;
      zxc; qwe; bob; jen; joe; fred; bill; mike; john; peter; luke; sam;
      sue; susan; peter; brian; lee; neil; ian; chris; eric; george; kate;
      bob; katie; mary; login; loginpass; technical; backup; exchange; fuck;
      bitch; slut; sex; god; hell; hello; domain; domainpass;
      domainpassword; database; access; dbpass; dbpassword; databasepass;
      data; databasepassword; db1; db2; db1234; sql; sqlpassoainstall;
      orainstall; oracle; ibm; cisco; dell; compaq; siemens; nokia; control;
      office; blank; winpass; main; lan; internet; intranet; student;
      teacher; staff

Эксплойт:
– MS02-018 (патч для IIS)
– MS03-007 (непроверенный буфер в компоненте Windows)
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-039 (Переполнение буфера RPCSS Service)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)
– MS05-039 (уязвимость в Plug and Play)
– VX05-006 (Remote Heap Overflow при использовании функции VERITAS Backup Exec Admin Plus Pack)

Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: bacho.hassouna.**********
Порт: 6667
Канал: #UrX#
Имя: USA|%случайная комбинация из пяти букв%
Пароль: #UrX#

– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Кэшированные пароли
    • Сохранение содержимого экрана
    • Сохранение снимков веб-камеры
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • Объем памяти
    • Информация об операционной системе Windows

– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS TCP атака
    • Запускается DDoS UDP атака
    • Отключить сетевые папки общего доступа
    • Подключить сетевые папки общего доступа
    • Запустить файл
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Открытие удаленного интерфейса
    • Произвести DDoS атаку
    • Проверка сети
    • Перенаправить порт
    • Перезапустить систему
    • Отправить электронную почту
    • Закрыть потенциально опасную программу
    • Остановить процесс
    • Обновляется самостоятельно
    • Загрузить файл
    • Посещение веб-страницы

Завершение процесса Список завершаемых процессов:
   • regedit.exe; msconfig.exe; netstat.exe; msblast.exe; zapro.exe;
      navw32.exe; navapw32.exe; zonealarm.exe; wincfg32.exetaskmon.exe;
      PandaAVEngine.exe; sysinfo.exe; mscvb32.exe; MSBLAST.exe; teekids.exe;
      Penis32.exe; bbeagle.exe; SysMonXP.exe; winupd.exe; winsys.exe;
      ssate.exe; rate.exe; d3dupdate.exe; irun4.exe; i11r54n4.exe

Кража Попытка кражи следующей информации:
– Windows Produkt ID

– Пароли следующих программ:
   • Battlefield 1942
   • Battlefield 1942 (Road To Rome)
   • Battlefield 1942 (Secret Weapons of WWII)
   • Battlefield Vietnam
   • Black and White
   • Command & Conquer Generals
   • Command and Conquer: Generals (Zero Hour)
   • Command and Conquer: Red Alert 2
   • Command and Conquer: Tiberian Sun
   • Counter-Strike (Retail)
   • Chrome
   • FIFA 2002
   • FIFA 2003
   • Freedom Force
   • Global Operations
   • Gunman Chronicles
   • Half-Life
   • Hidden & Dangerous 2
   • IGI 2: Covert Strike
   • Industry Giant 2
   • James Bond 007: Nightfire
   • Legends of Might and Magic
   • Medal of Honor: Allied Assault
   • Medal of Honor: Allied Assault: Breakthrough
   • Medal of Honor: Allied Assault: Spearhead
   • Nascar Racing 2002
   • Nascar Racing 2003
   • Need For Speed Hot Pursuit 2
   • Need For Speed: Underground
   • Neverwinter Nights
   • Neverwinter Nights (Hordes of the Underdark)
   • Neverwinter Nights (Shadows of Undrentide)
   • NHL 2003
   • NHL 2002
   • NOX
   • Rainbow Six III RavenShield
   • Shogun: Total War: Warlord Edition
   • Soldier of Fortune II - Double Helix
   • Soldiers Of Anarchy
   • The Gladiators
   • Unreal Tournament 2003
   • Unreal Tournament 2004

– Проверяется сетевой трафик. Поиск следующих последовательностей символов:
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :&login; :*login; :-login; :+login; :/login; :\login; :=login;
      :?login; :'login; :`login; :~login; : login; :.auth; :,auth; :!auth;
      :@auth; :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth;
      :/auth; :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id;
      :,id; :!id; :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id;
      :\id; :=id; :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin;
      :$hashin; :%hashin; :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x;
      :$x; :%x; :.syn; :!syn; :$syn; :%syn; :!ident; :.ident

– После набора на клавиатуре следующей последовательности символов запускается функция протоколирования.
   • paypal

– Протоколируется:
    • Нажатие клавиш

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • http://www.paypal.com

– Протоколируется:
    • Регистрационная информация

Разное Мьютекс:
Создается мьютекс:
• stfu

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• PE Win32 Dll

Описание добавил Monica Ghitun в(о) среда, 10 января 2007 г.
Описание обновил Monica Ghitun в(о) четверг, 11 января 2007 г.

Назад . . . .