Имя:Worm/Kolabc.WN
Обнаружен:23/04/2008
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:52.624 байт.
Контрольная сумма MD5:65cf5d3bc5efd0d4ffcf83bfb59ba33b
Версия VDF:7.00.03.203

 Общее Методы распространения:
   • Локальная сеть
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Symantec: W32.IRCbot
   •  Mcafee: Puper
   •  Kaspersky: Net-Worm.Win32.Kolabc.wn
   •  F-Secure: Net-Worm.Win32.Kolabc.wn
   •  Panda: W32/Sdbot.LUQ.worm
   •  VirusBuster: Worm.Poebot.OA
   •  Eset: Win32/Poebot.NBF
   •  Bitdefender: Backdoor.IRCBot.ACGJ


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создает собственную копию с именем файла из списка
– Кому: %SYSDIR%\ С одним из следующих имен:
   • winamp.exe
   • winIogon.exe
   • firewall.exe
   • spooIsv.exe
   • spoolsvc.exe
   • Isass.exe
   • lssas.exe
   • algs.exe
   • logon.exe
   • iexplore.exe




Создается файл:

%Рабочая папка вредоносной программы%:\%случайная комбинация из пяти букв%.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.



Попытка загрузки следующих файлов:

– Следующий URL:
   • http://alwayssam**********
Сохраняется локально в: %SYSDIR%\%случайная буквенная комбинация%.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

– Следующий URL:
   • http://alwayssam**********
Сохраняется локально в: %SYSDIR%\%случайная буквенная комбинация%.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

– Следующий URL:
   • http://alwayssam**********
Сохраняется локально в: %SYSDIR%\%случайная буквенная комбинация%.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

– Следующий URL:
   • http://zonetech**********
Сохраняется локально в: %SYSDIR%\%случайная буквенная комбинация%.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Данный batch-файл используется для удаления файла.

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows Network Firewall="%SYSDIR%\firewall.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Winamp Agent"="%SYSDIR%\winamp.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\logon.exe"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Следующий список имен пользователей:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– Список паролей:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; databasepassword;
      databasepass; dbpassword; dbpass; domainpassword; domainpass; hello;
      hell; love; money; slut; bitch; fuck; exchange; loginpass; login; qwe;
      zxc; asd; qaz; win2000; winnt; winxp; win2k; win98; windows;
      oeminstall; oem; accounting; accounts; letmein; sex; outlook; mail;
      qwerty; temp123; temp; null; default; changeme; demo; test; secret;
      payday; deadline; work; pwd; pass; pass1234; dba; passwd; password;
      password1



Процесс инфицирования:
На выбранном компьютере создается TFTP или FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: hub.54**********
Порт: 1863
Канал: #las6;#rs2;#fox;# 63;# kok6
Имя: Cyzuzeof
Пароль: stseelkvyyrucnss

Сервер: xx.ka3**********
Порт: 5190
Канал: #las6;#rs2;#fox;# 63;# kok6
Имя: Cyzuzeof

Сервер: p.ircs**********
Порт: 8080
Канал: #las6;#rs2;#fox;# 63;# kok6
Имя: Cyzuzeof

Сервер: n.ircs**********
Порт: 5555
Канал: #las6;#rs2;#fox;# 63;# kok6
Имя: Cyzuzeof

Сервер: xx.sql**********
Порт: 7000
Канал: las6;#rs2;#fox;# 63;# kok6
Имя: Cyzuzeof



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • Имя пользователя
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • разорвать соединение с IRC сервером
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Загрузить файл

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы
– Используемые функцией AutoComplete пароли

– Пароли следующих программ:
   • UnrealIRCD
   • Steam
   • World Of Warcraft
   • Conquer Online

– Проверяется сетевой трафик. Поиск следующих последовательностей символов:
   • irc operator; paypal; paypal.com; cd key; cd-key; cdkey; passwort;
      auth; sxt; login; pass=; login=; password=; username=; passwd=; :auth;
      identify; oper; MailPass; pass; unknown; user

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • WinUpack

Описание добавил Alexandru Dinu в(о) среда, 30 июля 2008 г.
Описание обновил Alexandru Dinu в(о) среда, 30 июля 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.