Worm/Zotob.F - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/Zotob.F
Обнаружен:	17/08/2005
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Средний
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	10.878 байт.
Контрольная сумма MD5:	96AB4033143AD95744AA208C4DE7A053
Версия VDF:	6.31.1.130

Общее Метод распространения:
   • Локальная сеть

Псевдонимы (аliases):
   • Symantec: W32.Zotob.F
   • Mcafee: W32/Bozori.worm.b
   • Kaspersky: Net-Worm.Win32.Bozori.b
   • TrendMicro: WORM_ZOTOB.F
   • F-Secure: Bozori.B
   • Sophos: W32/Zotob-F
   • Panda: W32/IRCbot.KL.worm

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Отключение приложений безопасности
   • Использует уязвимость ПО

Файлы Создается собственная копия:
• %WINDIR%\Sysdir32\wintbx.exe

Выполненная копия программы удаляется.

Создается файл:

– %TEMPDIR%\%случайная комбинация из трех букв%.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "wintbpx.exe"="wintbpx.exe"

Сетевое инфицирование Эксплойт:
Используется следующая брешь в безопасности:
– MS05-039 (уязвимость в Plug and Play)

Генарация IP адресов:
Создаются случайные IP адреса и производится попытка установить соединение с этим адресом.
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.

Процесс инфицирования:
На выбранном компьютере создается TFTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.
Загруженный файл сохраняется на удаленном компьютере в следующем виде: %WINDIR%\%случайная буквенная комбинация%.exe

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: 72.20.41.**********
Порт: 6667
Канал: #tbp
Имя: %случайная буквенная комбинация% 4 %случайная буквенная комбинация%

Завершение процесса Список завершаемых процессов:
   • botzor.exe; csm.exe; llsrv.exe; mousebm.exe; pnpsrv.exe;
      service32.exe; svnlitup32.exe; system32.exe; upnp.exe; winpnp.exe;
      wintbp.exe

Backdoor Открываются следующие порты:

– %выполненный файл% по UDP порту 69 для обеспечения TFTP сервера.
– %выполненный файл% по TCP порту 8563 для обеспечения удаленной оболочки

Разное Мьютекс:
Создается мьютекс:
• wintbx.exe

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующими паковщиками:
• UPX
• Yoda's Cryptor

Краткое описание см. здесь.

Описание добавлено: Dragos Tomescu Wed, 17 Aug 2005 14:35 (GMT+1)
Описание обновлено: Dragos Tomescu Tue, 30 Aug 2005 17:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back