English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/VanBot.ay
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/VanBot.ay - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/VanBot.ay
Обнаружен:
13/03/2007
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
161.792 байт.
Контрольная сумма MD5:
d1923c613668592b0f579d96db21b738
Версия VDF:
6.38.00.43
Версия IVDF:
6.38.00.44
Общее
Метод распространения:
• Локальная сеть
Псевдонимы (аliases):
• Kaspersky: Backdoor.Win32.VanBot.ay
• F-Secure: Backdoor.Win32.VanBot.ay
• Eset: Win32/Poebot
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Создает файл
• Отслеживается и записывает введенные с клавиатуры символы
• Изменение реестра
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создает собственную копию с именем файла из списка
– Кому:
%SYSDIR%
\ С одним из следующих имен:
• csrs.exe
• logon.exe
• explorer.exe
• supoolsvc.exe
• lsass.exe
• algs.exe
• iexplore.exe
• winamp.exe
• firewall.exe
• lssas.exe
• winIogon.exe
• spooIsv.exe
• spoolsvc.exe
Выполненная копия программы удаляется.
Создается файл:
–
%Рабочая папка вредоносной программы%
\
%случайная буквенная комбинация%
.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
Реестр
Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Client Server Runtime Process"="
%SYSDIR%
\csrs.exe"
• "Windows Logon Application"="
%SYSDIR%
\logon.exe"
• "Windows Explorer"="
%SYSDIR%
\explorer.exe"
• "Spooler SubSystem App"="
%SYSDIR%
\supoolsvc.exe"
• "Local Security Authority Service"="
%SYSDIR%
\lsass.exe"
• "Application Layer Gateway Service"="
%SYSDIR%
\algs.exe"
• "Microsoft Internet Explorer"="
%SYSDIR%
\iexplore.exe"
• "Winamp Agent"="
%SYSDIR%
\winamp.exe"
• "Windows Network Firewall"="
%SYSDIR%
\firewall.exe
• "Local Security Authority Service"="
%SYSDIR%
\lssas.exe"
• "Windows Logon Application"="
%SYSDIR%
\winIogon.exe"
• "Spooler SubSystem App"="
%SYSDIR%
\spooIsvc.exe"
• "Spooler SubSystem App"="
%SYSDIR%
\spoolsvc.exe"
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Копия объекта помещается в следующие сетевые ресурсы общего доступа:
• IPC$
• print$
• C$\Documents and Settings\All Users\Documents\$
• admin$
• Admin$\system32
• c$\windows\system32
• c$\winnt\system32
• c$\windows
• c$\winnt
• e$\shared
• d$\shared
• c$\shared
Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:
– Следующий список имен пользователей:
• staff; teacher; owner; student; intranet; lan; main; office; control;
siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
database; domain; god; backup; technical; mary; katie; kate; george;
eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
user; homeuser; home; internet; www; web; root; server; linux; unix;
computer; adm; admin; admins; administrat; administrateur;
administrador; administrator
– Список паролей:
• winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
databasepassword; databasepass; dbpassword; dbpass; domainpassword;
domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
pass; pass1234; dba; passwd; password; password1; abc
Эксплойт:
Используются следующие бреши в безопасности:
–
MS03-026
(Переполнение буфера RPC Interface)
–
MS03-049
(Переполнение буфера Workstation Service)
–
MS04-011
(Уязвимость LSASS)
–
MS05-039
(уязвимость в Plug and Play)
Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.
IRC
Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:
Сервер: l33.ko0ppol.**********
Порт: 4545
Канал: #nerds#
Имя:
%случайная буквенная комбинация%
Сервер: a11.je34ke5.**********
Порт: 8585
Канал: #nerds#
Имя:
%случайная буквенная комбинация%
– Данная вредоносная программа способна собирать и передавать следующую информацию:
• Скорость процессора
• Текущий пользователь
• Информация о драйвере
• Свободное место на диске
• Свободная оперативная память
• Информация о сети
• Объем памяти
• Имя пользователя
• Информация об операционной системе Windows
– Вредоносная программа обладает способностью выполнять следующие действия:
• Начать DDoS SYN атаку
• Загрузить файл
• Проверка сети
Кража
Попытка кражи следующей информации:
– Используемые функцией AutoComplete пароли
– CD ключи:
• World Of Warcraft
• Unreal3
• Steam
• Conquer Online
– Пароли следующих программ:
• FlashFXP
• MSN
• OutlookExpress
– После набора на клавиатуре одной из следующих последовательностей символов запускается функция протоколирования:
• paypal; cd key; cd-key; cdkey; passwort; auth; sxt; login; pw=; pass=;
login=; password=; username=; passwd=; :auth; identify; oper;
MailPass; pass; unknown; user
– Протоколируется:
• Нажатие клавиш
– Запуск функции протоколирования при посещении веб-страницы со следующей последовательностью в URL:
• paypal.com
– Протоколируется:
• Регистрационная информация
Разное
Мьютекс:
Создается мьютекс:
• cd9f82a30d4ee5d683ae1fc7575b139ab344
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Adriana Popa Mon, 12 Mar 2007 10:23 (GMT+1)
Описание обновлено: Adriana Popa Fri, 16 Mar 2007 10:12 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
Worm/Netsky.D.Dam
Worm/Mytob.DH
Worm/Mytob.CR
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/VanBot.ay
Print this page
.gif)
