Geser
23.09.2004, 16:45
W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.
При запуске W32.Donk.S выполняет следующие действия:
1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe
2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:
• w3.org
• geocities.com
• freewebpage.org
• fortunecity.co.uk
• angelfire.com
• warez.com
• sms.ac
• isohunt.com
• wincustomize.com
• ftp.as.ro
• dot.tk
• irc.dal.net
• irc.undernet.org
• hotmail.com
• msn.com
• google.com
• yahoo.com
Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.
Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т
Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:
• SST
• database
• sql
• Root
• admin
• Guest
• home
• Administrateur
• Verwalter
• User
• Default
• administrator
• Administrator
Пароли:
• 101
• pw
• mypass
• pw123
• admin123
• 557
• mypc
• love
• pass
• pwd
• Login
• login
• owner
• xxx
• home
• zxcv
• yxcv
• qwer
• secret
• asdf
• pc
• win
• temp123
• temp
• test123
• test
• abc
• aaa
• a
• sex
• god
• root
• administrator
• alpha
• 007
• 123abc
• 0
• 2003
• 2002
• xp
• enable
• 123asd
• super
• Internet
• computer
• server
• 123qwe
• sybase
• oracle
• abc123
• abcd
• database
• passwd
• pass
• 111
• 54321
• 654321
• 123456789
• 1234567
• 123
• 12
• 1
• Password
• Admin
• admin
• 1234
• 12345
• 12345678
• letmein
• qwerty
• 7777
• 1111
• asd#321
• 6969
• 123456
• password
В случае успеха, червь копирует себя в следующие каталоги на удаленной системе:
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup
• C:\WINDOWS\Start Menu\Programs\Startup
• C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINDOWS\Start Menu\Programs\Startup
• \Documents and Settings\All Users\Start Menu\Programs\Startup
3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:
• %Temp%\upd32a.exe
• %Temp%\kspd32a.exe
• %System%\navinst.exe
4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.
http://www.securitylab.ru
При запуске W32.Donk.S выполняет следующие действия:
1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe
2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:
• w3.org
• geocities.com
• freewebpage.org
• fortunecity.co.uk
• angelfire.com
• warez.com
• sms.ac
• isohunt.com
• wincustomize.com
• ftp.as.ro
• dot.tk
• irc.dal.net
• irc.undernet.org
• hotmail.com
• msn.com
• google.com
• yahoo.com
Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.
Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т
Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:
• SST
• database
• sql
• Root
• admin
• Guest
• home
• Administrateur
• Verwalter
• User
• Default
• administrator
• Administrator
Пароли:
• 101
• pw
• mypass
• pw123
• admin123
• 557
• mypc
• love
• pass
• pwd
• Login
• login
• owner
• xxx
• home
• zxcv
• yxcv
• qwer
• secret
• asdf
• pc
• win
• temp123
• temp
• test123
• test
• abc
• aaa
• a
• sex
• god
• root
• administrator
• alpha
• 007
• 123abc
• 0
• 2003
• 2002
• xp
• enable
• 123asd
• super
• Internet
• computer
• server
• 123qwe
• sybase
• oracle
• abc123
• abcd
• database
• passwd
• pass
• 111
• 54321
• 654321
• 123456789
• 1234567
• 123
• 12
• 1
• Password
• Admin
• admin
• 1234
• 12345
• 12345678
• letmein
• qwerty
• 7777
• 1111
• asd#321
• 6969
• 123456
• password
В случае успеха, червь копирует себя в следующие каталоги на удаленной системе:
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup
• C:\WINDOWS\Start Menu\Programs\Startup
• C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINDOWS\Start Menu\Programs\Startup
• \Documents and Settings\All Users\Start Menu\Programs\Startup
3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:
• %Temp%\upd32a.exe
• %Temp%\kspd32a.exe
• %System%\navinst.exe
4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.
http://www.securitylab.ru