W32.Donk.S

W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.

W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.

При запуске W32.Donk.S выполняет следующие действия:

1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe

2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:
•	w3.org 
•	geocities.com 
•	freewebpage.org 
•	fortunecity.co.uk 
•	angelfire.com 
•	warez.com 
•	sms.ac 
•	isohunt.com 
•	wincustomize.com 
•	ftp.as.ro 
•	dot.tk 
•	irc.dal.net 
•	irc.undernet.org 
•	hotmail.com 
•	msn.com 
•	google.com 
•	yahoo.com 

Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.

Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т

Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:

 
127.0.0.1  www.trendmicro.com                          
127.0.0.1  trendmicro.com                              
127.0.0.1  rads.mcafee.com                             
127.0.0.1  customer.symantec.com                       
127.0.0.1  liveupdate.symantec.com                     
127.0.0.1  us.mcafee.com                               
127.0.0.1  updates.symantec.com                        
127.0.0.1  update.symantec.com                         
127.0.0.1  www.nai.com                                 
127.0.0.1  nai.com                                     
127.0.0.1  secure.nai.com                              
127.0.0.1  dispatch.mcafee.com                         
127.0.0.1  download.mcafee.com                         
127.0.0.1  www.my-etrust.com                           
127.0.0.1  my-etrust.com                               
127.0.0.1  mast.mcafee.com                             
127.0.0.1  ca.com                                      
127.0.0.1  www.ca.com                                  
127.0.0.1  networkassociates.com                       
127.0.0.1  www.networkassociates.com                   
127.0.0.1  avp.com                                     
127.0.0.1  www.kaspersky.com                           
127.0.0.1  www.avp.com                                 
127.0.0.1  kaspersky.com                               
127.0.0.1  www.f-secure.com                            
127.0.0.1  f-secure.com                                
127.0.0.1  viruslist.com                               
127.0.0.1  www.viruslist.com                           
127.0.0.1  liveupdate.symantecliveupdate.com           
127.0.0.1  mcafee.com                                  
127.0.0.1  www.mcafee.com                              
127.0.0.1  sophos.com                                  
127.0.0.1  www.sophos.com                              
127.0.0.1  symantec.com                                
127.0.0.1  securityresponse.symantec.com               
127.0.0.1  www.symantec.com
2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:
•	SST 
•	database 
•	sql 
•	Root 
•	admin 
•	Guest 
•	home 
•	Administrateur 
•	Verwalter 
•	User 
•	Default 
•	administrator 
•	Administrator 
Пароли:
•	101 
•	pw 
•	mypass 
•	pw123 
•	admin123 
•	557 
•	mypc 
•	love 
•	pass 
•	pwd 
•	Login 
•	login 
•	owner 
•	xxx 
•	home 
•	zxcv 
•	yxcv 
•	qwer 
•	secret 
•	asdf 
•	pc 
•	win 
•	temp123 
•	temp 
•	test123 
•	test 
•	abc 
•	aaa 
•	a 
•	sex 
•	god 
•	root 
•	administrator 
•	alpha 
•	007 
•	123abc 
•	0 
•	2003 
•	2002 
•	xp 
•	enable 
•	123asd 
•	super 
•	Internet 
•	computer 
•	server 
•	123qwe 
•	sybase 
•	oracle 
•	abc123 
•	abcd 
•	database 
•	passwd 
•	pass 
•	111 
•	54321 
•	654321 
•	123456789 
•	1234567 
•	123 
•	12 
•	1 
•	Password 
•	Admin 
•	admin 
•	1234 
•	12345 
•	12345678 
•	letmein 
•	qwerty 
•	7777 
•	1111 
•	asd#321 
•	6969 
•	123456 
•	password 
В случае успеха, червь копирует себя в следующие каталоги на удаленной системе:
•	C:\Documents and Settings\All Users\Start Menu\Programs\Startup 
•	C:\WINDOWS\Start Menu\Programs\Startup 
•	C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup 
•	\WINNT\Profiles\All Users\Start Menu\Programs\Startup 
•	\WINDOWS\Start Menu\Programs\Startup 
•	\Documents and Settings\All Users\Start Menu\Programs\Startup 
3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:
•	%Temp%\upd32a.exe 
•	%Temp%\kspd32a.exe 
•	%System%\navinst.exe 
4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.