Net-Worm.Win32.Bozori.a

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), написан на языке Visual C++, имеет размер 10366 байт, упакован UPX. Размер распакованного файла — около 20 KБ

Net-Worm.Win32.Bozori.a («Лаборатория Касперского») также известен как: Exploit-DcomRpc.gen (McAfee)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), написан на языке Visual C++, имеет размер 10366 байт, упакован UPX. Размер распакованного файла — около 20 KБ.

Червь распространяется, используя уязвимость Microsoft Windows Plug and Play Service Vulnerability (MS05-039).

Принцип работы червя очень схож с тем, что был использован в червях Lovesan (в августе 2003 года) и Sasser (в мае 2004 года), за исключением того, что Lovesan и Sasser использовали уязвимости в других службах Windows — RPC DCOM и LSASS.

Заражению подвержены компьютеры, работающие под управлением Windows 2000. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.

Червь содержит в себе функцию бекдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем wintbp.exe:

%System%\wintbp.exe

Червь регистрирует этот файл в ключах автозагрузки системного реестра:


[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "wintbp.exe"="wintbp.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

После чего оригинальный запускаемый файл удаляется.

Червь создает уникальный идентификатор «wintbp.exe» для определения своего присутствия в системе.

Распространение по сети

Червь открывает на зараженном компьютере TFTP-сервер на порту UDP 69, после чего запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, открывает на нем TCP-порт 8594 и загружает свою копию на уязвимый компьютер. После чего запускает на исполнение свою копию на удаленной машине.

Удаленное администрирование

Net-Worm.Win32.Bozori.a соединяется с IRC-сервером 72.20.**.115 для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Прочее

После заражения инфицированная машина выводит сообщение об ошибке, после чего может попытаться перезагрузиться.