Worm.Win32.Aler.a

Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам.

Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам.

Изначально был разослан при помощи спам-рассылки в письмах со следующими характеристиками:

Тема письма:

Latest News about Arafat!!!

Текст письма:

Hello guys!
 Latest news about Arafat!
 Unimaginable!!!!!

Имя файла-вложения:

Зараженное письмо содержит 2 файла:

  1. обычный JPEG файл:
    arafat_1.emf
  2. специальный файл, открывающий EMF-уязвимость (описана в Security Bulletin MS04-032 ):

    arafat_2.emf

Инсталляция

После запуска зараженного файла, червь создает в системной папке Windows следующие файлы:

Alerter.exe
 Comwsock.dll
 Dmsock.dll
 Mst.tlb
 SCardSer.exe
 Spc.exe
 Spoolsv.exe
 Sptres.dll

Червь скрывает от пользователя свое присутствие в системе, добавляя себя к уже запущенным процессам Windows ("explorer.exe", "lsass.exe", "outlook.exe").

Червь создает следующие записи в системном реестре:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog]
  "Display name"="Net Login Helper"
  "ImagePath"="%System%\SCardSer.exe"

Распространение

Червь сканирует произвольные IP-адреса компьютеров, слабозащищенных паролем, c операционной системой Windows.

Червь использует следующие пароли:

0
 0
 111
 123
 1234
 12345
 54321
 111111
 123456
 654321
 888888
 1234567
 11111111
 12345678
 88888888
 !@#$
 !@#$%
!@#$%^
 ~!@#
 123!@#
 1234!@#$
 12345!@#$%
 admin
 fan@ing*
 oracle
 pass
 passwd
 password
 root
 secret
 security
 stgzs
 super

Далее червь копирует себя на удаленный компьютер с именем "Alerter.exe" или "Alerter16.exe".

Действие

Червь открывает и затем отслеживает случайный TCP порт для приема команд и файлов от злоумышленника.