Полное описание

Имя:	Worm/Koobfa.75264.D
Обнаружен:	07/07/2010
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	75.264 байт.
Контрольная сумма MD5:	86ad4190c37cd92a417cf71ca8d6aafc
Версия IVDF:	7.10.09.33 - среда, 7 июля 2010 г.

Общее Метод распространения:
   • Локальная сеть

Псевдонимы (аliases):
   • Bitdefender: Trojan.Generic.KD.8086
   • Panda: W32/Koobface.KG.worm
   • Eset: Win32/Koobface.NCT

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносные файлы
   • Создает вредоносные файлы
   • Изменение реестра

Файлы Создается собственная копия:
   • %Диск%\windows\bill108.exe

Следующие файлы будут переписаны.
– %WINDIR%\bill120.exe
– %WINDIR%\bill108.exe
– %WINDIR%\bk23567.dat

Выполненная копия программы удаляется.

Удаляются следующие файлы:
   • %HOME%\Local Settings\Application Data\rdr_1281069652.exe
   • %TEMPDIR%\zpskon_1281079908.exe
   • %Диск%\h.tmp
   • %TEMPDIR%\captcha.bat
   • %Диск%\1.bat
   • %TEMPDIR%\zpskon_1281077066.exe
   • %Диск%\3.reg
   • %Рабочая папка вредоносной программы%\SelfDel.bat

Создаются следующие файлы:

– %Диск%\3.reg Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

– %Рабочая папка вредоносной программы%\df1a245s4_1284.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dropper.Gen

– %TEMPDIR%\zpskon_1281078711.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Backdoor.Gen

– %Диск%\windows\bk23567.dat
– %TEMPDIR%\zpskon_1281079908.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dropper.Gen

– %HOME%\Local Settings\Application Data\0535049569854.xxe
– %TEMPDIR%\captcha.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
– %temporary internet files%\v2captcha21[1].exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.19456.86

– %temporary internet files%\migdal.org.il[1].exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dropper.Gen

– %WINDIR%\dxxdv34567.bat
– %Диск%\h.tmp Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Qhost.2560

– %Рабочая папка вредоносной программы%\SelfDel.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
– %temporary internet files%\loader[1].exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dropper.Gen

– %temporary internet files%\hostsgb3[1].exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/ATRAPS.Gen

– %Диск%\1.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
– %temporary internet files%\ws[1].exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Backdoor.Gen

– %HOME%\Local Settings\Application Data\01005199495648.xxe
– %HOME%\Local Settings\Application Data\rdr_1281069652.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.19456.86

– %PROGRAM FILES%\webserver\webserver.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Backdoor.Gen

– %SYSDIR%\captcha.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.19456.86

– %HOME%\Local Settings\Application Data\0991021011025699.xxe
– %TEMPDIR%\zpskon_1281077066.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/ATRAPS.Gen

– %SYSDIR%\drivers\etc\hosts Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Qhost.2560

– %Диск%\windows\bill120.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dropper.Gen

Попытка загрузки следующих файлов:

– Следующий URL:
   • http://www.usenet4all.ch/**********/?action=%строка символа%&v=%Число%&crc=%Число%

– Следующий URL:
   • http://www.goo**********.com/

– Следующий URL:
   • http://bushdecor.com/**********/?action=%строка символа%&v=%Число%&crc=%Число%

– Следующие URL:
   • http://lode-willems.be/**********/?action=%строка символа%&v=%Число%&crc=%Число%
   • http://lode-willems.be/**********/?action=%строка символа%&mode=%строка символа%&age=%Число%&a=%строка символа%&v=%Число%&c_fb=%Число%&iedef=%Число%&ie=%строка символа%
   • http://lode-willems.be/**********/?getexe=%строка символа%
   • http://lode-willems.be/**********/?getexe=%строка символа%
   • http://lode-willems.be/**********/?getexe=%строка символа%
   • http://lode-willems.be/**********/?getexe=%строка символа%

– Следующий URL:
   • http://u07012010u.com/**********/?uptime=%Число%&v=%Число%&sub=%Число%&ping=%Число%&hits=%Число%&noref=%Число%&port=%Число%&ftp=%Число%&proxy=%Число%

– Следующий URL:
   • http://www.hoganjobs.com/**********/?action=%строка символа%&v=%Число%&crc=%Число%

– Следующий URL:
   • http://silverbirdgroup.com/**********/?action=%строка символа%&v=%Число%&crc=%Число%

– Следующий URL:
   • http://migdal.org.il/adm/**********

– Следующий URL:
   • http://www.sevenpinesstables.com/**********/?getexe=%строка символа%

– Следующий URL:
   • http://www.wttcmi.com/**********/?action=%строка символа%&v=%Число%&crc=%Число%

– Следующие URL:
   • http://www.powertreecorp.com/**********/?action=%строка символа%&v=%Число%&crc=%Число%
   • http://www.powertreecorp.com/**********/?action=%строка символа%&a=%строка символа%&v=%Число%&c_fb=%Число%&ie=%строка символа%

Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %WINDIR%\bill108.exe

– Имя файла:
   • %TEMPDIR%\\zpskon_1281078711.exe

– Имя файла:
   • cmd /c SelfDel.bat

– Имя файла:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 237

– Имя файла:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE

– Имя файла:
   • netsh firewall add portopening TCP 237 webserver ENABLE

– Имя файла:
   • netsh firewall add portopening TCP 4000 webserver ENABLE

– Имя файла:
   • "%HOME%\Local Settings\Application Data\rdr_1281069652.exe"

– Имя файла:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1281069652.exe" /res >%temp%\captcha.bat

– Имя файла:
   • "%HOME%\Local Settings\Application Data\rdr_1281069652.exe" /res

– Имя файла:
   • netsh firewall add portopening TCP 53 webserver ENABLE

– Имя файла:
   • cmd /c %WINDIR%\dxxdv34567.bat

– Имя файла:
   • cmd /c "%temp%\captcha.bat"

– Имя файла:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE

– Имя файла:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto

– Имя файла:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"

– Имя файла:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f

– Имя файла:
   • sc start "webserver"

– Имя файла:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%SYSDIR%\captcha.dll" /f

– Имя файла:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f

– Имя файла:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f

– Имя файла:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f

– Имя файла:
   • df1a245s4_1284.exe

– Имя файла:
   • rundll32 captcha,ServiceMain

– Имя файла:
   • %Рабочая папка вредоносной программы%\df1a245s4_1284.exe

– Имя файла:
   • %WINDIR%\bill120.exe

– Имя файла:
   • regedit /s c:\2.reg

– Имя файла:
   • %TEMPDIR%\\zpskon_1281077066.exe

– Имя файла:
   • cmd /c c:\1.bat

– Имя файла:
   • %TEMPDIR%\\zpskon_1281079908.exe

– Имя файла:
   • %TEMPDIR%\zpskon_1281079908.exe

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysfbtray"="%WINDIR%\bill120.exe"

Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "237:TCP"="237:TCP:*:Enabled:webserver"
   • "4000:TCP"="4000:TCP:*:Enabled:webserver"
   • "53:TCP"="53:TCP:*:Enabled:webserver"

Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "tp"="1000"

– [HKLM\SYSTEM\CurrentControlSet\Services\webserver]
   • "FailureActions"=hex:b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00'

– [HKLM\SYSTEM\CurrentControlSet\Services\captcha]
   • "FailureActions"=hex:b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00'

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "captcha"="captcha"

– [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]
   • "DisableAntiSpyware"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\
   Microsoft\NAP\Netsh]
   • "Active"=dword:0x00000001
   • "ControlFlags"=dword:0x00000001
   • "LogSessionName"="stdout"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\
   Microsoft\NAP\Netsh\Napmontr]
   • "BitNames"=" NAP_TRACE_BASE NAP_TRACE_NETSH"
   • "Guid"="710adbf0-ce88-40b4-a50d-231ada6593f0"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Port"=dword:0x000000ed

– [HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters]
   • "ServiceDll"="%SYSDIR%\captcha.dll"

Изменяется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\captcha]
   Новое значение:
   • "Type"=dword:0x00000120

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Эксплойт:
Используется следующая брешь в безопасности:
– MS04-007 (Уязвимость ASN.1)

Хосты Хост файл изменяется следующим образом:

– При попытке получить доступ к следующему домену запрос перенаправляется на другой адрес:
• 85.13.206.115 u07012010u.com

Описание добавил Petre Galan в(о) пятница, 6 августа 2010 г.
Описание обновил Petre Galan в(о) пятница, 6 августа 2010 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты