Security Lab

Net-Worm.Win32.Bozori.b

Net-Worm.Win32.Bozori.b

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows.

Net-Worm.Win32.Bozori.b («Лаборатория Касперского») также известен как: Exploit-DcomRpc.gen (McAfee)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), написан на языке Visual C++, имеет размер 10878 байт, упакован UPX. Размер распакованного файла около 17 KБ.

Червь распространяется, используя уязвимость Microsoft Windows Plug and Play Service Vulnerability (MS05-039).

Принцип работы червя очень схож с тем, что был использован в червях Lovesan (в августе 2003 года) и Sasser (в мае 2004 года), за исключением того, что Lovesan и Sasser использовали аналогичную уязвимость в других службах Windows — RPC DCOM и LSASS.

Заражению подвержены компьютеры, работающие под управлением Windows 2000. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем wintbpx.exe:

%System%\wintbpx.exe

Затем червь регистрирует этот файл в ключах автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "wintbpx.exe"="wintbpx.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

После чего оригинальный запускаемый файл удаляется.

Распространение по сети

Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, запускает на удаленной машине свой код.

Удаленное администрирование

Net-Worm.Win32.Bozori.b соединяется с IRC-сервером 72.20.**.139 для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Действие

Червь выгружает из памяти процессы, имена которых попадают в следующий список:

  
  botzor.exe
  csm.exe
  llsrv.exe
  mousebm.exe
  pnpsrv.exe
  service32.exe
  svnlitup32.exe
  system32.exe
  upnp.exe
  winpnp.exe
  wintbp.exe

Прочее

После заражения инфицированная машина выводит сообщение об ошибке, после чего может попытаться перезагрузиться.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Новости по теме

Хакеры используют картинки для взлома Telegram: не попадитесь на крючок

Конец невидимости F-22: китайские радары наступают на пятки стелс-самолетам

Llama 3 – достойный конкурент для LLM от OpenAI, Google и Anthropic

Дистрибьюторы РФ ультимативно потребовали от кинотеатров прекратить пиратский прокат

PT ISIM: новые возможности для распределенных производственных структур и MSSP

Autodesk блокирует российские аккаунты AutoCAD

Гигабитный интернет от Frontier «превратился в тыкву» после атаки хакеров

Взломщик Mango Markets на скамье подсудимых: 20 лет за $110 млн прибыли

Фиолетовые пришельцы: инопланетная жизнь может быть не такой, как мы её представляем