English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Rbot.1258496
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Rbot.1258496 - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Rbot.1258496
Обнаружен:
09/10/2006
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
1.258.496 байт.
Контрольная сумма MD5:
6fd7be146c5449dfdb9a0B97e6775523
Версия VDF:
6.36.00.81
Версия IVDF:
6.36.00.97
Общее
Метод распространения:
• Локальная сеть
Псевдонимы (аliases):
• Kaspersky: Backdoor.Win32.Rbot.bll
• TrendMicro: WORM_RBOT.ATW
• Sophos: W32/Rbot-FPF
• VirusBuster: virus Worm.RBot.IFS
• Bitdefender: Backdoor.Rbot.FHQ
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
Последствия:
• Создает потенциально опасный файл
• Отслеживается и записывает введенные с клавиатуры символы
• Изменение реестра
• Использует уязвимость ПО
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%WINDIR%
\messengersystem.exe
Создается файл:
– Незараженный файл:
•
%SYSDIR%
\drivers\oreans32.sys
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Messenger91"="messengersystem.exe"
Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
• "Messenger91"="messengersystem.exe"
Добавляется следующий ключ реестра:
– HKCU\Software\Microsoft\OLE
• "Messenger91"="messengersystem.exe"
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Копия объекта помещается в следующие сетевые ресурсы общего доступа:
• IPC$
• %c$
• ADMIN$
Эксплойт:
Используется следующая брешь в безопасности:
– Утилита удаленного администрирования NetDevil (порт 903)
Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.
Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.
IRC
Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:
Сервер: irc.Brokenirc**********
Порт: 6667
Канал: #mad-bots1
Имя: USA[
%версия Windows%
]
%случайная комбинация букв из восьми букв%
Пароль: 5t34lth
– Данная вредоносная программа способна собирать и передавать следующую информацию:
• Скорость процессора
• Текущий пользователь
• Информация о драйвере
• Свободное место на диске
• Свободная оперативная память
• Время жизни вредоносной программы
• Информация о сети
• Информация о запущенных процессах
• Объем памяти
• Системная папка
• папка Windows
• Информация об операционной системе Windows
– Вредоносная программа обладает способностью выполнять следующие действия:
• установить соедиениение с IRC сервером
• Начать DDoS ICMP атаку
• Начать DDoS SYN атаку
• Запускается DDoS UDP атака
• Отключить сетевые папки общего доступа
• Загрузить файл
• Подключить сетевые папки общего доступа
• Запустить файл
• Покинуть чат-комнату IRC
• Открытие удаленного интерфейса
• Проверка сети
• Перенаправить порт
• Перезапустить систему
• Обновляется самостоятельно
• Посещение веб-страницы
Кража
– После набора на клавиатуре одной из следующих последовательностей символов запускается функция протоколирования:
• paypal
• e-gold
• PayPal
• StormPay
– Протоколируется:
• Нажатие клавиш
Разное
Антиотладка
Проверяется наличие одного из следующих файлов:
• \\.\SICE
• \\.\NTICE
При успешном выполнении перед закрытием отображается следующее:
При успешном выполнении вредоносная программа закрывается.
В случае успешного выполнения файлы не создаются.
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Bogdan Iliuta Fri, 03 Nov 2006 16:10 (GMT+1)
Описание обновлено: Bogdan Iliuta Mon, 20 Nov 2006 16:59 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Mytob.W
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Rbot.1258496
Print this page
.gif)
