Net-Worm.Win32.Padobot.m

Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер около 10КБ, упакован UPX. Размер распакованного файла около 24KБ.

Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер около 10КБ, упакован UPX. Размер распакованного файла около 24KБ.

Вирус распространяется, используя уязвимость Microsoft Windows LSASS (MS04-011).

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с произвольным именем. Например:

%System%\gytotrn.exe

Затем червь регистрирует этот файл в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 "Cryptographic Service"="%System%\<произвольное имя>.exe"

Также создает ключ:

[HKLM\SOFTWARE\Microsoft\Wireless]
 "ID"="<произвольное значение>"

Червь создает уникальный идентификатор «uterm19» для определения своего присутствия в системе.

Распространение

Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.

Прочее

Червь открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Padobot.m пытается установить соединение для приема команд и передачи данных с несколькими каналами на IRC-серверах:

  • adult-empire.com
  • asechka.ru
  • citi-bank.ru
  • color-bank.ru
  • crutop.nu
  • cvv.ru
  • fethard.biz
  • filesearch.ru
  • kavkaz.tv
  • kidos-bank.ru
  • konfiskat.org
  • master-x.com
  • mazafaka.ru
  • parex-bank.ru
  • roboxchange.com
  • www.redline.ru
  • xware.cjb.net