Worm/RBot.328262 - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/RBot.328262
Обнаружен:	08/07/2005
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	558.080 байт.
Контрольная сумма MD5:	a36bf2770D4763d8f53ae224d9bcfb57
Версия VDF:	6.31.0.172

Общее Методы распространения:
   • Локальная сеть

Псевдоним (alias):
   • Sophos: W32/Tilebot-HD

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Последствия:
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %WINDIR%\lsass.exe

Следующие файлы будут переписаны.
– %SYSDIR%\ftp.exe
– %SYSDIR%\tftp.exe

Выполненная копия программы удаляется.

Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="Spool SubSystem App"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Spool SubSystem App"

Добавляются следующие ключи реестра:

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Security
   • "Security"=%hex value%

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Enum
   • "0"="Root\\LEGACY_SPOOL_SUBSYSTEM_APP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000
   • "Service"="Spool SubSystem App"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Spool SubSystem App"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Spool SubSystem App"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "windns"=%Рабочая папка вредоносной программы%\%выполненный файл%

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$

Эксплойт:
Используются следующие бреши в безопасности:
– MS02-061 (повышение привилегий в SQL Server Web)
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)

Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: mail2.tik**********
Порт: 9632;7412
Канал: #z#
Имя: [P00|USA|%случайная комбинация букв из восьми букв%]
Пароль: m00

– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • Информация о запущенных процессах
    • Объем памяти
    • Информация об операционной системе Windows

– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS UDP атака
    • Отключить сетевые папки общего доступа
    • Загрузить файл
    • Редактировать реестр
    • Подключить сетевые папки общего доступа
    • Запустить файл
    • Остановить процесс
    • Открытие удаленного интерфейса
    • Произвести DDoS атаку
    • Проверка сети
    • Перенаправить порт
    • Закрыть потенциально опасную программу
    • Обновляется самостоятельно

Backdoor Устанавливает соединение с сервером
Следующий:
• htp://www.littleworld.pe.kr/**********

Это происходит с помощью HTTP GET запроса PHP скрипта.

Инфицирование – Следующий файл вставляется в процесс: %SYSDIR%\sfc_os.dll

    Все следующие процессы:
   • %SYSDIR%\winlogon.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\spoolsv.exe

Разное Мьютекс:
Создается мьютекс:
• w7p5h9e5k7x5

Антиотладка
Проверяется наличие следующего файла:
• \\.\NTICE

Модификация файла:
Для повышения максимального числа соединений у программы есть восможность изменить tcpip.sys. Этот файл может оказать вредоносное воздействие на систему и разорвать установленное сетевое соединение.
Для отключения Windows File Protection (WFP) программа может модифицировать файл sfc_os.dll (Offset 0000E2B8). WFP предназначена для решения некоторых известных проблемы несовместимости DLL.

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Краткое описание см. здесь.

Описание добавлено: Bogdan Iliuta Fri, 13 Oct 2006 17:01 (GMT+1)
Описание обновлено: Andrei Gherman Tue, 21 Nov 2006 09:06 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back