Worm/Aimbot.EQ - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/Aimbot.EQ
Обнаружен:	13/10/2006
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	От среднего до высокого
Файл статистики:	Да
Размер файла:	1.184.256 байт.
Контрольная сумма MD5:	5fab5a579a0Af582d3a9b99454727125
Версия VDF:	6.35.01.101
Версия IVDF:	6.35.01.102

Общее Методы распространения:
   • Локальная сеть
   • Messenger

Псевдонимы (аliases):
   • Kaspersky: Backdoor.Win32.Aimbot.eq
   • TrendMicro: WORM_RBOT.UV
   • Eset: Win32/Rbot
   • Bitdefender: Backdoor.Aimbot.EQ

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файл
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию

Файлы Создается собственная копия:
• %WINDIR%\mde.exe

Создается файл:

– %SYSDIR%\drivers\oreans32.sys После полного завершения процесса создания он запускается на выполнение.

Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="oreans32"

Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– AIM Messenger

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
• C$
• D$

Эксплойт:
Используются следующие бреши в безопасности:
– MS04-007 (Уязвимость ASN.1)
– MS05-039 (уязвимость в Plug and Play)

Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.

Снижение скорости:
– Есть вероятность уменьшения скорости. Причиной может явиться большое число запущенных процессов.

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: irc.fucknet.**********
Порт: 6667
Канал: #~#
Имя: [P00|USA|8%случайная комбинация из четырех букв%]
Пароль: !@#

– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Проверка сети
    • Отправить электронную почту

Кража Попытка кражи следующей информации:
– Windows Produkt ID

– Проверяется сетевой трафик. Поиск следующей последовательности символов:
• :!x

Разное Мьютекс:
Создается мьютекс:
• %случайная комбинация из пяти букв%

Антиотладка
Проверяется активность следующей программы:
• SoftIce

При успешном выполнении вредоносная программа закрывается.

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Краткое описание см. здесь.

Описание добавлено: Monica Ghitun Mon, 16 Oct 2006 09:32 (GMT+1)
Описание обновлено: Monica Ghitun Wed, 01 Nov 2006 08:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back