Показано с 1 по 6 из 6.

W32.Donk.S

  1. #1
    Geser
    Guest

    W32.Donk.S

    W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.
    При запуске W32.Donk.S выполняет следующие действия:

    1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe

    2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices

    1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:
    • w3.org
    • geocities.com
    • freewebpage.org
    • fortunecity.co.uk
    • angelfire.com
    • warez.com
    • sms.ac
    • isohunt.com
    • wincustomize.com
    • ftp.as.ro
    • dot.tk
    • irc.dal.net
    • irc.undernet.org
    • hotmail.com
    • msn.com
    • google.com
    • yahoo.com


    Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.
    Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т

    Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:


    127.0.0.1 www.trendmicro.com
    127.0.0.1 trendmicro.com
    127.0.0.1 rads.mcafee.com
    127.0.0.1 customer.symantec.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 us.mcafee.com
    127.0.0.1 updates.symantec.com
    127.0.0.1 update.symantec.com
    127.0.0.1 www.nai.com
    127.0.0.1 nai.com
    127.0.0.1 secure.nai.com
    127.0.0.1 dispatch.mcafee.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 www.my-etrust.com
    127.0.0.1 my-etrust.com
    127.0.0.1 mast.mcafee.com
    127.0.0.1 ca.com
    127.0.0.1 www.ca.com
    127.0.0.1 networkassociates.com
    127.0.0.1 www.networkassociates.com
    127.0.0.1 avp.com
    127.0.0.1 www.kaspersky.com
    127.0.0.1 www.avp.com
    127.0.0.1 kaspersky.com
    127.0.0.1 www.f-secure.com
    127.0.0.1 f-secure.com
    127.0.0.1 viruslist.com
    127.0.0.1 www.viruslist.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 mcafee.com
    127.0.0.1 www.mcafee.com
    127.0.0.1 sophos.com
    127.0.0.1 www.sophos.com
    127.0.0.1 symantec.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 www.symantec.com

    2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:
    • SST
    • database
    • sql
    • Root
    • admin
    • Guest
    • home
    • Administrateur
    • Verwalter
    • User
    • Default
    • administrator
    • Administrator

    Пароли:
    • 101
    • pw
    • mypass
    • pw123
    • admin123
    • 557
    • mypc
    • love
    • pass
    • pwd
    • Login
    • login
    • owner
    • xxx
    • home
    • zxcv
    • yxcv
    • qwer
    • secret
    • asdf
    • pc
    • win
    • temp123
    • temp
    • test123
    • test
    • abc
    • aaa
    • a
    • sex
    • god
    • root
    • administrator
    • alpha
    • 007
    • 123abc
    • 0
    • 2003
    • 2002
    • xp
    • enable
    • 123asd
    • super
    • Internet
    • computer
    • server
    • 123qwe
    • sybase
    • oracle
    • abc123
    • abcd
    • database
    • passwd
    • pass
    • 111
    • 54321
    • 654321
    • 123456789
    • 1234567
    • 123
    • 12
    • 1
    • Password
    • Admin
    • admin
    • 1234
    • 12345
    • 12345678
    • letmein
    • qwerty
    • 7777
    • 1111
    • asd#321
    • 6969
    • 123456
    • password

    В случае успеха, червь копирует себя в следующие каталоги на удаленной системе:
    • C:\Documents and Settings\All Users\Start Menu\Programs\Startup
    • C:\WINDOWS\Start Menu\Programs\Startup
    • C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
    • \WINNT\Profiles\All Users\Start Menu\Programs\Startup
    • \WINDOWS\Start Menu\Programs\Startup
    • \Documents and Settings\All Users\Start Menu\Programs\Startup

    3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:
    • %Temp%\upd32a.exe
    • %Temp%\kspd32a.exe
    • %System%\navinst.exe

    4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.

    http://www.securitylab.ru

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972

    Re:W32.Donk.S

    Промахнулись , батенька .червяка в вирусы записали .

  4. #3
    Geser
    Guest

    Re:W32.Donk.S

    Цитата Сообщение от drongo
    Промахнулись , батенька .червяка в вирусы записали .
    Старость - не радость. перенёс

  5. #4
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    51

    Re:W32.Donk.S

    Цитата Сообщение от drongo
    Промахнулись , батенька .червяка в вирусы записали .
    А черви и трояны - тоже вирусы. http://www.vlz.ru/books/avp/1classi/sub.htm
    http://adept7.narod.ru/library/4admi...f/index-cl.htm

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    293

    Re:W32.Donk.S

    хыхы дебильный набор паролей ;D
    • sex
    • god
    ну это уже опыт Голливуда.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972

    Re:W32.Donk.S

    Цитата Сообщение от azza
    я в более компетентном факе читал , разница есть . просто всё чаще функции вредноносной программы включают в себя и функции троянского коня и червя и даже клавиатурных шпионов. границы притупляються .

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00458 seconds with 15 queries