W32.Donk.S

W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.

W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.

При запуске W32.Donk.S выполняет следующие действия:

1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe

2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:

 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
 
1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:
 •	w3.org 
 •	geocities.com 
 •	freewebpage.org 
 •	fortunecity.co.uk 
 •	angelfire.com 
 •	warez.com 
 •	sms.ac 
 •	isohunt.com 
 •	wincustomize.com 
 •	ftp.as.ro 
 •	dot.tk 
 •	irc.dal.net 
 •	irc.undernet.org 
 •	hotmail.com 
 •	msn.com 
 •	google.com 
 •	yahoo.com 
 
 
Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.

Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т

Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:

 
 127.0.0.1  www.trendmicro.com                          
 127.0.0.1  trendmicro.com                              
 127.0.0.1  rads.mcafee.com                             
 127.0.0.1  customer.symantec.com                       
 127.0.0.1  liveupdate.symantec.com                     
 127.0.0.1  us.mcafee.com                               
 127.0.0.1  updates.symantec.com                        
 127.0.0.1  update.symantec.com                         
 127.0.0.1  www.nai.com                                 
 127.0.0.1  nai.com                                     
 127.0.0.1  secure.nai.com                              
 127.0.0.1  dispatch.mcafee.com                         
 127.0.0.1  download.mcafee.com                         
 127.0.0.1  www.my-etrust.com                           
 127.0.0.1  my-etrust.com                               
 127.0.0.1  mast.mcafee.com                             
 127.0.0.1  ca.com                                      
 127.0.0.1  www.ca.com                                  
 127.0.0.1  networkassociates.com                       
 127.0.0.1  www.networkassociates.com                   
 127.0.0.1  avp.com                                     
 127.0.0.1  www.kaspersky.com                           
 127.0.0.1  www.avp.com                                 
 127.0.0.1  kaspersky.com                               
 127.0.0.1  www.f-secure.com                            
 127.0.0.1  f-secure.com                                
 127.0.0.1  viruslist.com                               
 127.0.0.1  www.viruslist.com                           
 127.0.0.1  liveupdate.symantecliveupdate.com           
 127.0.0.1  mcafee.com                                  
 127.0.0.1  www.mcafee.com                              
 127.0.0.1  sophos.com                                  
 127.0.0.1  www.sophos.com                              
 127.0.0.1  symantec.com                                
 127.0.0.1  securityresponse.symantec.com               
 127.0.0.1  www.symantec.com
 
2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:
 •	SST 
 •	database 
 •	sql 
 •	Root 
 •	admin 
 •	Guest 
 •	home 
 •	Administrateur 
 •	Verwalter 
 •	User 
 •	Default 
 •	administrator 
 •	Administrator 
 
Пароли:
 •	101 
 •	pw 
 •	mypass 
 •	pw123 
 •	admin123 
 •	557 
 •	mypc 
 •	love 
 •	pass 
 •	pwd 
 •	Login 
 •	login 
 •	owner 
 •	xxx 
 •	home 
 •	zxcv 
 •	yxcv 
 •	qwer 
 •	secret 
 •	asdf 
 •	pc 
 •	win 
 •	temp123 
 •	temp 
 •	test123 
 •	test 
 •	abc 
 •	aaa 
 •	a 
 •	sex 
 •	god 
 •	root 
 •	administrator 
 •	alpha 
 •	007 
 •	123abc 
 •	0 
 •	2003 
 •	2002 
 •	xp 
 •	enable 
 •	123asd 
 •	super 
 •	Internet 
 •	computer 
 •	server 
 •	123qwe 
 •	sybase 
 •	oracle 
 •	abc123 
 •	abcd 
 •	database 
 •	passwd 
 •	pass 
 •	111 
 •	54321 
 •	654321 
 •	123456789 
 •	1234567 
 •	123 
 •	12 
 •	1 
 •	Password 
 •	Admin 
 •	admin 
 •	1234 
 •	12345 
 •	12345678 
 •	letmein 
 •	qwerty 
 •	7777 
 •	1111 
 •	asd#321 
 •	6969 
 •	123456 
 •	password 
 
В случае успеха, червь копирует себя в следующие каталоги на удаленной системе:
 •	C:\Documents and Settings\All Users\Start Menu\Programs\Startup 
 •	C:\WINDOWS\Start Menu\Programs\Startup 
 •	C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup 
 •	\WINNT\Profiles\All Users\Start Menu\Programs\Startup 
 •	\WINDOWS\Start Menu\Programs\Startup 
 •	\Documents and Settings\All Users\Start Menu\Programs\Startup 
 
3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:
 •	%Temp%\upd32a.exe 
 •	%Temp%\kspd32a.exe 
 •	%System%\navinst.exe 
 
4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.