English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Rbot.XN
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Rbot.XN - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Rbot.XN
Обнаружен:
08/08/2005
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
499.712 байт.
Контрольная сумма MD5:
336e4ef735bf545151b5cdd11ddd1d1d
Версия VDF:
6.31.01.68
Общее
Методы распространения:
• Локальная сеть
• Подключенные сетевые диски
Псевдонимы (аliases):
• Kaspersky: Backdoor.Win32.Rbot.xn
• TrendMicro: WORM_RBOT.BXP
• Sophos: W32/Rbot-AOK
• Grisoft: IRC/BackDoor.SdBot.HFN
• VirusBuster: virus Worm.RBot.CFJ
• Bitdefender: Backdoor.Rbot.XN
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Использует собственный почтовый движок
• Изменение реестра
• Использует уязвимость ПО
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%SYSDIR%
\
%случайная комбинация из трех букв%
.exe
Выполненная копия программы удаляется.
Реестр
Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Windows ASN Service"="
%выполненный файл%
"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "Windows ASN Service"="
%выполненный файл%
"
Добавляются следующие ключи реестра:
– [HKLM\SOFTWARE\Licenses]
• "{R7C0DB872A3F777C0}"=
%шестнадцатиричное значение%
• "{K7C0DB872A3F777C0}"=
%шестнадцатиричное значение%
• "{I5D8DDAB8BD72C6E7}"=
%шестнадцатиричное значение%
• "{05D8DDAB8BD72C6E7}"=
%шестнадцатиричное значение%
– [HKLM\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
• "TrapPollTimeMilliSecs"=dword:00003a98
– [HKCR\CLSID\{22A6FF82-B3E0-94BB-5FCD-EA067B86810F}]
Изменяются следующие ключи реестра:
– [HKLM\SOFTWARE\Microsoft\Ole]
Прежнее значение:
• "EnableDCOM"=
%Настройки пользователя%
Новое значение:
• "EnableDCOM"="N"
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
Прежнее значение:
• "restrictanonymous"=
%Настройки пользователя%
• "restrictanonymoussam"=
%Настройки пользователя%
Новое значение:
• "restrictanonymous"=dword:00000001
• "restrictanonymoussam"=dword:00000001
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Копия объекта помещается в следующие сетевые ресурсы общего доступа:
• IPC$
• ADMIN$
• C$
• C:\
• D$
• D:\
Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:
– Список имен пользователей и паролей:
• 12; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
12345678; 123456789; 1234567890; access; accounting; accounts; adm;
admin; administrador; administrat; administrateur; administrator;
admins; asd; backup; bill; bitch; blank; bob; brian; changeme; chris;
cisco; compaq; computer; control; data; database; databasepass;
databasepassword; db1; db1234; db2; dba; dbpass; dbpassword; default;
dell; demo; domain; domainpass; domainpassword; eric; exchange; fred;
fuck; george; god; guest; hell; hello; home; homeuser; hp; ian; ibm;
internet; intranet; jen; joe; john; kate; katie; lan; lee; linux;
login; loginpass; luke; mail; main; mary; mike; neil; nokia; none;
null; oem; oeminstall; oemuser; office; oracle; orainstall; outlook;
owner; pass; pass1234; passwd; password; password1; peter; pwd; qaz;
qwe; qwerty; root; sa; sam; server; sex; siemens; slut; sql;
sqlpassoainstall; staff; student; sue; susan; system; teacher;
technical; test; unix; user; web; win2000; win2k; win98; windows;
winnt; winpass; winxp; www; wwwadmin; xp; zxc
Эксплойт:
Используются следующие бреши в безопасности:
–
MS03-026
(Переполнение буфера RPC Interface)
–
MS03-039
(Переполнение буфера RPCSS Service)
–
MS03-049
(Переполнение буфера Workstation Service)
–
MS04-007
(Уязвимость ASN.1)
–
MS04-011
(Уязвимость LSASS)
IRC
Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:
Сервер: 94.amdweb**********.com
Порт: 6667
Пароль сервера: R4DRR4KZ6ZD3
Канал: #asn
Имя: sMB-
%случайная комбинация из шести букв%
Пароль: NdIVyk5D
– Данная вредоносная программа способна собирать и передавать следующую информацию:
• Скорость процессора
• Текущий пользователь
• Информация о драйвере
• Свободное место на диске
• Свободная оперативная память
• Время жизни вредоносной программы
• Информация о сети
• Информация о запущенных процессах
• Объем памяти
• Имя пользователя
• Локальная активность пользователя
• Информация об операционной системе Windows
– Вредоносная программа обладает способностью выполнять следующие действия:
• установить соедиениение с IRC сервером
• Начать DDoS ICMP атаку
• Начать DDoS SYN атаку
• Запускается DDoS UDP атака
• Отключить DCOM
• Отключить сетевые папки общего доступа
• разорвать соединение с IRC сервером
• Загрузить файл
• Включить DCOM
• Подключить сетевые папки общего доступа
• Запустить файл
• Войти в чат-комнату IRC
• Остановить процесс
• Покинуть чат-комнату IRC
• Открытие удаленного интерфейса
• Произвести DDoS атаку
• Проверка сети
• Регистрация службы
• Перезапустить систему
• Отправить электронную почту
• Завершить работу системы
• Закрыть потенциально опасную программу
• Остановить процесс
• Обновляется самостоятельно
• Загрузить файл
Разное
Мьютекс:
Создаются мьютексы:
• rzasn
• RALAAD91808
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• Armadillo
Краткое описание см.
здесь
.
Описание добавлено: Daniel Constantin Tue, 04 Apr 2006 12:14 (GMT+1)
Описание обновлено: Daniel Constantin Tue, 04 Apr 2006 14:41 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Rbot.XN
Print this page
.gif)
