Worm.Win32.Downloader.i

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.Downloader.i Червь, который скачивает с интернет другие программы. Является приложением Windows (PE-EXE файл). Имеет размер 19412 байт. Упакован при помощи Upack, распакованный размер 135 к.б.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%System%\ctfmon.exe

после чего запускает.

Распространение

Червь копирует свое тело на все доступные в сетевом окружении компьютеры используя уязвимость MS05-047 (более детально о уязвимости: http://www.m*******t.com/downloads/details.aspx?FamilyId=1559E44A-DDEE-4C86-BF02-A6C3B9BEEE0C&displaylang=en) Использовать данную уязвимость может только локальный авторизированный пользователь, по этому червь пытается войти в атакуемую систему под учетной записью администратора используя один из приведенных ниже паролей: 

901100
mypass123
mypass
admin123
mypc123
mypc
love
pw123
Login
login
owner
home
zxcv
yxcv
qwer
asdf
temp123
temp
test123
test
fuck
fuckyou
root
ator
administrator
patrick
123abc
1234qwer
123123
121212
111111
alpha
2600
2003
2002
enable
godblessyou
ihavenopass
123asd
super
computer
server
123qwe
sybase
abc123
abcd
database
passwd
pass
88888888
11111111
000000
54321
654321
123456789
1234567
qq520
5201314
admin
12345
12345678
mein
letmein
2112
baseball
qwerty
7777
5150
fish
1313
shadow
1111
mustang
pussy
golf
123456
harley
6969
password
1234

после успешной авторизации червь посылает удаленному хосту специальным образом сформированный пакет, который вызывает переполнение буфера в службе Plug and Play. Переполнение буфера приводит к выполнению кода, который копирует тело червя на удаленный компьютер и запускает его.

Деструктивная активность

Скачивает список файлов для загрузки из интернет по следующей ссылке: 

http://60.1******.235/elf_listo.txt

и сохраняет его как: 

%System%\taimpo.txt

после чего производит закачку файлов из списка по следующим ссылкам: 

http://60.1******.235/win1.exe
http://60.1******.235/win2.exe
http://60.1******.235/win3.exe
http://60.1******.235/win4.exe
http://60.1******.235/win5.exe
http://60.1******.235/win6.exe
http://60.1******.235/win7.exe

файлы сохраняются под следующими именами: 

c:\conime.exe
c:\conime1.exe
c:\conime1.exe
c:\conime2.exe
c:\conime2.exe

после чего запускаются на выполнение. На момент создания описания ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %System%\ctfmon.exe
c:\conime.exe
c:\conime1.exe
c:\conime1.exe
c:\conime2.exe
c:\conime2.exe
  4. Скачать и установить обновление, которое устраняет уязвимость по следующей ссылке:
    5. http://www.m*******t.com/downloads/details.aspx?FamilyId=1559E44A-DDEE-4C86-BF02-A6C3B9BEEE0C&displaylang=en
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.Downloader.i»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.