Worm/Sdbot.80896 - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/Sdbot.80896
Обнаружен:	26/08/2005
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	80.896 байт.
Контрольная сумма MD5:	8e3d9a00158895be246046568332045a
Версия VDF:	6.31.1.158

Общее Метод распространения:
   • Локальная сеть

Псевдонимы (аliases):
   • Symantec: W32.Spybot.Worm
   • Kaspersky: Trojan.Win32.Crypt.d
   • TrendMicro: WORM_SDBOT.CBS
   • VirusBuster: Worm.SdBot.BEH
   • Eset: Win32/Rbot

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Последствия:
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "li start up"="%выполненный файл%"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "li start up"="%выполненный файл%"

Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "li start up"="%выполненный файл%"

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "li start up"="%выполненный файл%

Добавляются следующие ключи реестра:

– HKLM\Software\Microsoft\OLE
   • "li start up"="%выполненный файл%"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "li start up"="%выполненный файл%"

– HKCU\Software\Microsoft\OLE
   • "li start up"="%выполненный файл%"

– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "li start up"="%выполненный файл%"

Изменяется следующий ключ реестра:

– HKLM\Software\Microsoft\OLE
   Прежнее значение:
   • "EnableDCOM"="%Настройки пользователя%"
   Новое значение:
   • "EnableDCOM"="Y"

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • "ipc$"
   • "print$"
   • "admin$"
   • "Admin$"

Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

–Закэшированные имена пользователей и пароли.

– Следующий список имен пользователей:
   • Admin; Administrador; administrador; administrat; Administrateur;
      Administrator; Coordinatore; Guest; main; master; owner; root; server;
      student; supervisor; system; teacher; user; windows

– Список паролей:
   • 7; 123; 777; 2600; abc; access; computer; Login; oem; oeminstall;
      OWNER; pass; password; pwd; qwerty; superuser; win2000; win2k; winnt;
      winxp; xxx

Эксплойт:
Используется следующая брешь в безопасности:
– MS04-011 (Уязвимость LSASS)

Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.

Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

Снижение скорости:
– В зависимости от пропускной способности Вашего канала возможна потеря производительности. Из-за среднего уровня активности данной вредоносной программы пользователь может и не заметить этого изменения при наличии мощного канала связи.
– Есть вероятность уменьшения скорости. Причиной может явиться большое число запущенных процессов.

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: 83.133.125.**********
Порт: 24300
Канал: #fftp
Имя: [XP]|%random characters%
Пароль: abcnet

– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • Информация о запущенных процессах
    • Объем памяти
    • Системная папка
    • Имя пользователя

– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • разорвать соединение с IRC сервером
    • Загрузить файл
    • Редактировать реестр
    • Включить DCOM
    • Запустить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Открытие удаленного интерфейса
    • Произвести DDoS атаку
    • Проверка сети
    • Завершить работу системы
    • Запуск процедуры распространения
    • Остановить процесс
    • Обновляется самостоятельно

Хосты Хост файл изменяется следующим образом:

– В этом случае удаляются существующие строки.

– При попытке получить доступ к следующим доменам запрос перенаправляется на другой адрес:
   • avp.com; ca.com; customer.symantec.com; dispatch.mcafee.com;
      download.mcafee.com; f-secure.com; kaspersky.com; kaspersky-labs.com;
      liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
      mast.mcafee.com; mcafee.com; my-etrust.com; nai.com;
      networkassociates.com; rads.mcafee.com; secure.nai.com;
      securityresponse.symantec.com; sophos.com; symantec.com;
      trendmicro.com; update.symantec.com; updates.symantec.com;
      us.mcafee.com; viruslist.com; www.avp.com; www.ca.com;
      www.f-secure.com; www.grisoft.com; www.jayloden.com;
      www.kaspersky.com; www.mcafee.com; www.my-etrust.com; www.nai.com;
      www.networkassociates.com; www.sophos.com; www.symantec.com;
      www.trendmicro.com; www.viruslist.com

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Краткое описание см. здесь.

Описание добавлено: Irina Boldea Fri, 26 Aug 2005 18:43 (GMT+1)
Описание обновлено: Irina Boldea Tue, 30 Aug 2005 17:02 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back