Worm/IRCBot.381952 - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/IRCBot.381952
Обнаружен:	01/09/2006
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	381.952 байт.
Контрольная сумма MD5:	1a1f6496107b1063313aba6af99fce8e
Версия VDF:	6.35.01.170
Версия IVDF:	6.35.01.174

Общее Метод распространения:
   • Локальная сеть

Псевдонимы (аliases):
   • Mcafee: W32/Gaobot.worm.gen.e
   • TrendMicro: WORM_SDBOT.AFB
   • VirusBuster: virus Worm.IRCBot.ACM
   • Eset: Win32/IRCBot.TS trojan
   • Bitdefender: Trojan.PWS.Lineage.UG

Ранее были обнаружены как:
   • TR/PSW.Lineage.aeh.1

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создает собственную копию с именем файла из списка
– Кому: %SYSDIR%\ С одним из следующих имен:
   • Isass.exe
   • csrs.exe
   • algs.exe
   • spoolsvc.exe
   • spooIsv.exe
   • lssas.exe
   • winamp.exe
   • explorer.exe
   • iexplore.exe
   • firewall.exe
   • logon.exe

Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Local Security Authority Service = %SYSDIR%\Isass.exe
   • Client Server Runtime Process = %SYSDIR%\csrs.exe
   • Application Layer Gateway Service = %SYSDIR%\algs.exe
   • Spooler SubSystem App = %SYSDIR%\spoolsvc.exe
   • Spooler SubSystem App = %SYSDIR%\spooIsv.exe
   • Local Security Authority Service = %SYSDIR%\lssas.exe
   • Winamp Agent = %SYSDIR%\winamp.exe
   • Windows Explorer = %SYSDIR%\explorer.exe
   • Microsoft Internet Explorer = %SYSDIR%\iexplore.exe
   • Windows Network Firewall = %SYSDIR%\firewall.exe
   • Windows Logon Application = %SYSDIR%\logon.exe

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • IPC$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • C$\windows
   • e$\shared
   • d$\shared
   • c$\winnt
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$

Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Список имен пользователей и паролей:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
      databasepassword; databasepass; dbpassword; dbpass; domainpassword;
      domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
      loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
      win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
      outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
      test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
      pass; pass1234; dba; passwd; password; password1; abc; staff; teacher;
      owner; student; intranet; lan; main; office; control; siemens; compaq;
      dell; cisco; ibm; oracle; sql; data; access; database; domain; god;
      backup; technical; mary; katie; kate; george; eric; none; guest;
      chris; ian; neil; lee; brian; susan; sue; sam; luke; peter; john;
      mike; bill; fred; joe; jen; bob; wwwadmin; oemuser; user; homeuser;
      home; internet; www; web; root; server; linux; unix; computer; adm;
      admin; admins; administrat; administrateur; administrador;
      administrator

Эксплойт:
Используются следующие бреши в безопасности:
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-011 (Уязвимость LSASS)
– MS05-039 (уязвимость в Plug and Play)
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: l33.ko0P**********
Порт: 8585
Канал: #nerds#
Имя: %случайная буквенная комбинация%

Сервер: a11.je34**********
Порт: 8585
Канал: #nerds#
Имя: %случайная буквенная комбинация% %случайная буквенная комбинация%

– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Информация о сети
    • Информация о запущенных процессах
    • Объем памяти
    • Имя пользователя
    • Информация об операционной системе Windows

– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS SYN атаку
    • Загрузить файл
    • Запустить файл
    • Остановить процесс
    • Проверка сети
    • Запуск программы контроля клавиатуры
    • Запуск процедуры распространения

Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы
– Используемые функцией AutoComplete пароли

– CD ключи:
   • Unreal
   • Steam
   • World Of Warcraft
   • Conquer Online

– Пароли следующих программ:
   • FlashFXP
   • MSN
   • Outlook

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Краткое описание см. здесь.

Описание добавлено: Andrei Gherman Wed, 20 Sep 2006 13:02 (GMT+1)
Описание обновлено: Andrei Gherman Wed, 20 Sep 2006 14:06 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back