Worm.Win32.Aler.a

Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам.

Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам.

Изначально был разослан при помощи спам-рассылки в письмах со следующими характеристиками:

Тема письма:

Latest News about Arafat!!!

Текст письма:

Hello guys!
Latest news about Arafat!
Unimaginable!!!!!

Имя файла-вложения:

Зараженное письмо содержит 2 файла:

  1. обычный JPEG файл:
    arafat_1.emf
  2. специальный файл, открывающий EMF-уязвимость (описана в Security Bulletin MS04-032):

    arafat_2.emf

Инсталляция

После запуска зараженного файла, червь создает в системной папке Windows следующие файлы:

Alerter.exe
Comwsock.dll
Dmsock.dll
Mst.tlb
SCardSer.exe
Spc.exe
Spoolsv.exe
Sptres.dll

Червь скрывает от пользователя свое присутствие в системе, добавляя себя к уже запущенным процессам Windows ("explorer.exe", "lsass.exe", "outlook.exe").

Червь создает следующие записи в системном реестре:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog]
 "Display name"="Net Login Helper"
 "ImagePath"="%System%\SCardSer.exe"

Распространение

Червь сканирует произвольные IP-адреса компьютеров, слабозащищенных паролем, c операционной системой Windows.

Червь использует следующие пароли:

0
0
111
123
1234
12345
54321
111111
123456
654321
888888
1234567
11111111
12345678
88888888
!@#$
!@#$%
!@#$%^
~!@#
123!@#
1234!@#$
12345!@#$%
admin
fan@ing*
oracle
pass
passwd
password
root
secret
security
stgzs
super

Далее червь копирует себя на удаленный компьютер с именем "Alerter.exe" или "Alerter16.exe".

Действие

Червь открывает и затем отслеживает случайный TCP порт для приема команд и файлов от злоумышленника.