Worm/RBot.71617 - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/RBot.71617
Обнаружен:	15/12/2005
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	71.617 байт.
Контрольная сумма MD5:	7e98cedd83cb0B2ccfe51c16bce86557
Версия VDF:	6.33.00.28

Общее Метод распространения:
   • Локальная сеть

Псевдонимы (аliases):
   • Symantec: W32.Spybot.Worm
   • Kaspersky: Backdoor.Win32.SdBot.aad
   • TrendMicro: WORM_SDBOT.DFH
   • F-Secure: Backdoor.Win32.SdBot.aad
   • Sophos: W32/Tilebot-CM
   • Panda: W32/Sdbot.EKF.worm
   • VirusBuster: Worm.RBot.DFU
   • Bitdefender: Backdoor.Sdbot.F445.A

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
   • %WINDIR%\comctsvc.exe

Попытка загрузки следующих файлов:

– Следующие URL:
   • ftp.ea.com/pub/ea/patches/nfs/nfs-cd.zip
   • ftp.osc.edu/pub/bpowell/oscttssh.exe
   • ftp.ncsa.uiuc.edu/Mac/QuickTime/RealTime1.sea.bin
   • ftp.aol.com/aim/java/aim.exe
   • ftp.symantec.com/public/hungarian/liveupdate/lusetup.exe
   • download.nvidia.com/video/NVIDIA_EuroNews_English.wmv
   • ftp.demon.co.uk
   • space.mit.edu
   • ftp.gactr.uga.edu
   • ftp.novell.com
   • tsx-11.mit.edu

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "comctsvc" = "%WINDIR%\comctsvc.exe"

Добавляются следующие ключи реестра:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "bftyb" = %hex value%

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

Изменяются следующие ключи реестра:

– HKLM\SYSTEM\CurrentControlSet\Control
   Прежнее значение:
   • "WaitToKillServiceTimeout"=%Настройки пользователя%
   Новое значение:
   • "WaitToKillServiceTimeout"="7000"

– HKLM\SOFTWARE\Microsoft\Security Center
   Прежнее значение:
   • "UpdatesDisableNotify"=%Настройки пользователя%
   • "AntiVirusDisableNotify"=%Настройки пользователя%
   • "FirewallDisableNotify"=%Настройки пользователя%
   • "AntiVirusOverride"=%Настройки пользователя%
   • "FirewallOverride"=%Настройки пользователя%
   Новое значение:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Отключение Windows XP Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Прежнее значение:
   • "EnableFirewall"=%Настройки пользователя%
   Новое значение:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Прежнее значение:
   • "AUOptions"=%Настройки пользователя%
   Новое значение:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Прежнее значение:
   • "restrictanonymous"=%Настройки пользователя%
   Новое значение:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Прежнее значение:
   • "AutoShareWks"=%Настройки пользователя%
   • "AutoShareServer"=%Настройки пользователя%
   Новое значение:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Ole
   Прежнее значение:
   • "EnableDCOM"=%Настройки пользователя%
   Новое значение:
   • "EnableDCOM"="N"

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • IPC$
   • d$\windows\system32
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$

Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Список имен пользователей и паролей:
   • aaaa; aaa; abc; asd; asdf; qwerty; qwert; 321; 54321; 12345; 1234;
      123; test; backup; user; guest; Rin; Yuka; Mitsuki; Moe; Miyu; Riko;
      Miu; Nanami; Aoi; Misaki; Daiki; Kenta; Kaito; Sota; Shota; Ren; Sho;
      Takumi; Shun; elizabeth; samantha; ashley; isabella; hannahabigail;
      olivia; madison; emma; emily; christopher; joseph; william; daniel;
      andrew; ethan; matthew; joshua; michael; jacob; root; serv; Server;
      server; Test; Backup; User; Guest; Admin; admin; Administrator;
      administrator

Эксплойт:
Используются следующие бреши в безопасности:
– MS02-061 (повышение привилегий в SQL Server Web)
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-039 (Переполнение буфера RPCSS Service)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)
– MS05-039 (уязвимость в Plug and Play)

Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.

Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: bitchplz.**********
Порт: 8035
Канал: #haqr
Имя: [USA]-%случайная комбинация из пяти букв%
Пароль: :|

Сервер: wtfchinks.**********
Порт: 8035
Канал: #haqr
Имя: [USA]-%случайная комбинация из пяти букв%
Пароль: :|

– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Кэшированные пароли
    • Собранные электронные адреса
    • Скорость процессора
    • Текущий пользователь
    • Информация о драйвере
    • Свободное место на диске
    • Свободная оперативная память
    • Информация о сети
    • Информация о запущенных процессах
    • Объем памяти
    • Имя пользователя
    • Информация об операционной системе Windows

– Вредоносная программа обладает способностью выполнять следующие действия:
    • Отключить сетевые папки общего доступа
    • Загрузить файл
    • Подключить сетевые папки общего доступа
    • Запустить файл
    • Остановить процесс
    • Произвести DDoS атаку
    • Проверка сети
    • Перенаправить порт
    • Обновляется самостоятельно
    • Загрузить файл

Завершение процесса Список завершаемых служб:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

Разное Мьютекс:
Создается мьютекс:
• 357268

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Краткое описание см. здесь.

Описание добавлено: Irina Boldea Tue, 11 Apr 2006 16:25 (GMT+1)
Описание обновлено: Irina Boldea Fri, 14 Apr 2006 15:24 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back