Имя:Worm/IrcBot.164961
Обнаружен:17/02/2010
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:164.961 байт.
Контрольная сумма MD5:46e08081b696370727025779742237fd
Версия IVDF:7.10.04.80 - среда, 17 февраля 2010 г.

 Общее Методы распространения:
   • Функция автозапуска
   • Локальная сеть


Псевдонимы (аliases):
   •  Bitdefender: Backdoor.SDBot.DGFO
   •  Eset: Win32/AutoRun.Agent.RF


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %WINDIR%\sysdiag64.exe
   • %Диск%\autorun.exe



Создаются следующие файлы:

%Диск%\auTORUN.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%SYSDIR%\DROPPEDFILEOK.tmp



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • "%WINDIR%\sysdiag64.exe"

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "sysdiag64.exe"="%WINDIR%\sysdiag64.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MicrosoftNAPC"="%WINDIR%\sysdiag64.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%WINDIR%\sysdiag64.exe"

–  [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW]
   • DWFileTreeRoot

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используются следующие бреши в безопасности:
– MS03-039 (Переполнение буфера RPCSS Service)
– MS04-007 (Уязвимость ASN.1)
– MS06-040 (Уязвимость в серверной службе)


Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: vte**********.info
Порт: 51987
Канал: #pwn
Имя: TsGh{USA-XP}%Число%

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • %Случайно%


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) вторник, 10 августа 2010 г.
Описание обновил Petre Galan в(о) четверг, 12 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.