English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Nanspy.D
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Nanspy.D - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Nanspy.D
Обнаружен:
07/10/2005
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Да
Размер файла:
34.368 байт.
Контрольная сумма MD5:
3BDA9B1A7B39CD7DDF978A7084A298A5
Версия VDF:
6.30.0.235
Общее
Метод распространения:
• Локальная сеть
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Блокирует доступ к различным веб-сайтам
• Загружает вродоносный файл
• Изменение реестра
• Использует уязвимость ПО
Файлы
Создается собственная копия:
•
%SYSDIR%
\mmsvc32.exe
Попытка загрузки следующих файлов:
– Следующий URL:
• http://web.**********.com/bbot.exe
Сохраняется локально в:
%SYSDIR%
\bbot.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как:
BDS/Nanspy.C
– Следующие URL:
• http://nnpy.**********.com/lipscr2.php
• http://www.**********.com/sdata.txt
• http://nnpyev.**********.com/wad/nnpy.txt
• http://nnpytmp.**********.com/nnpyk2.php?action=knock
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Microsoft Network Services Controller"="
%SYSDIR%
\mmsvc32.exe"
Удаляются значения следующего ключа реестра:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• Microsoft IIS
• PayTime
• lp3mr1sh
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Эксплойт:
Используется следующая брешь в безопасности:
–
MS03-026
(Переполнение буфера RPC Interface)
Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.
Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.
Загруженный файл сохраняется на удаленном компьютере в следующем виде:
%Корневая папка системного диска%
\mmf32.exe
Хосты
Хост файл изменяется следующим образом:
– В этом случае удаляются существующие строки.
– При попытке получить доступ к следующим доменам запрос перенаправляется на другой адрес:
• lloydstsb.co.uk; online.lloydstsb.co.uk; www.lloydstsb.co.uk;
www.lloydstsb.com; personal.barclays.co.uk; barclays.co.uk;
ibank.barclays.co.uk; www.barclays.co.uk; www.nwolb.com; nwolb.com;
hsbc.co.uk; www.hsbc.co.uk; abbey.com; www.abbey.com; www.abbey.co.uk;
abbey.co.uk; cahoot.com; www.cahoot.com; www.cahoot.co.uk;
cahoot.co.uk; www.co-operativebank.co.uk; co-operativebank.co.uk;
www.co-operativebank.com; co-operativebank.com;
welcome2.co-operativebankonline.co.uk;
welcome6.co-operativebankonline.co.uk;
welcome8.co-operativebankonline.co.uk;
welcome10.co-operativebankonline.co.uk; www.smile.co.uk; smile.co.uk;
www.cajamar.es; cajamar.es; www.cajamar.com; www.unicaja.es;
unicaja.es; www.unicaja.com; unicaja.com; www.caixagalicia.es;
caixagalicia.es; www.caixagalicia.com; caixagalicia.com;
activa.caixagalicia.es; www.caixapenedes.es; caixapenedes.es;
www.caixapenedes.com; caixapenedes.com; bancae.caixapenedes.com;
www.caixasabadell.es; caixasabadell.es; www.caixasabadell.net;
caixasabadell.net; www.cajamadrid.es; cajamadrid.es;
www.cajamadrid.com; cajamadrid.com; oi.cajamadrid.es; www.ccm.es;
ccm.es; www.haspa.de; haspa.de; ssl2.haspa.de; www.dresdner-bank.de;
dresdner-bank.de; www.dresdner-privat.de; postbank.de;
www.postbank.de; banking.postbank.de; www.sparda-b.de; sparda-b.de;
www.bankingonline.de; www.raiffeisenbank-erding.de;
raiffeisenbank-erding.de; www.vr-networld-ebanking.de;
vr-networld-ebanking.de; www.bnhof.de; bnhof.de; www.deutsche-bank.de;
deutsche-bank.de; meine.deutsche-bank.de; www.citibank.de;
citibank.de; cipehb13.cdg.citibank.de; www.dkb.de; dkb.de;
www.sparkasse-regensburg.de; sparkasse-regensburg.de;
www.berliner-bank.de; berliner-bank.de; www.berliner-sparkasse.de;
berliner-sparkasse.de
Модифицированный хост-файл выглядит следующим образом:
Завершение процесса
Список завершаемых процессов:
• ftp.exe
• tftp.exe
• nh.exe
• nethost.exe
• syshost.exe
• ppc.exe
• paytime.exe
• lp3mr1sh.exe
• tibs.exe
Данные файла
Язык программирования:
Программа была написана на Delphi.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Andrei Gherman Mon, 10 Oct 2005 07:25 (GMT+1)
Описание обновлено: Andrei Gherman Wed, 12 Oct 2005 16:34 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Mytob.AD
Worm/Mytob.AT
Worm/Bagle.FJ
TR/Drop.MuJoin.AF
PHISH/CrediCard
TR/Autorun.afj
BDS/Agent.qfh.1
TR/Dldr.FraudLoa.NC
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Nanspy.D
Print this page
.gif)
