Net-Worm.Win32.Bozori.b

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows.

Net-Worm.Win32.Bozori.b («Лаборатория Касперского») также известен как: Exploit-DcomRpc.gen (McAfee)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), написан на языке Visual C++, имеет размер 10878 байт, упакован UPX. Размер распакованного файла около 17 KБ.

Червь распространяется, используя уязвимость Microsoft Windows Plug and Play Service Vulnerability (MS05-039).

Принцип работы червя очень схож с тем, что был использован в червях Lovesan (в августе 2003 года) и Sasser (в мае 2004 года), за исключением того, что Lovesan и Sasser использовали аналогичную уязвимость в других службах Windows — RPC DCOM и LSASS.

Заражению подвержены компьютеры, работающие под управлением Windows 2000. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем wintbpx.exe:

%System%\wintbpx.exe

Затем червь регистрирует этот файл в ключах автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "wintbpx.exe"="wintbpx.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

После чего оригинальный запускаемый файл удаляется.

Распространение по сети

Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, запускает на удаленной машине свой код.

Удаленное администрирование

Net-Worm.Win32.Bozori.b соединяется с IRC-сервером 72.20.**.139 для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Действие

Червь выгружает из памяти процессы, имена которых попадают в следующий список:


botzor.exe
csm.exe
llsrv.exe
mousebm.exe
pnpsrv.exe
service32.exe
svnlitup32.exe
system32.exe
upnp.exe
winpnp.exe
wintbp.exe

Прочее

После заражения инфицированная машина выводит сообщение об ошибке, после чего может попытаться перезагрузиться.