Net-Worm.Win32.Padobot.z

Сетевой вирус-червь, заражающий компьютеры под управлением Windows.

Net-Worm.Win32.Padobot.z («Лаборатория Касперского») также известен как: Exploit-DcomRpc.gen (McAfee), W32.Ifbo.A (Symantec), BackDoor.HangUp.26 (Doctor Web), W32/Doxpar-C (Sophos), WORM_KORGO.AG (Trend Micro), Worm/Padobot.Z.1 (H+BEDV), Worm/Padobot.AQ (Grisoft), Win32.Worm.Padobot.Z (SOFTWIN), W32/Korgo.gen.worm (Panda), Win32/Padodor.NAU (Eset)

Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер 46592 байта.

Вирус распространяется, используя уязвимость Microsoft Windows LSASS (MS04-011).

Инсталляция

После запуска червь копирует себя в системный каталог Windows с произвольным именем. Например:


%System%\Chdmla32.exe

Также червь создает следующие файлы:


    * C:\boot.sys — около 16 КБ, инфицирован Trojan-Spy.Win32.Qukart.s;
    * %System%\<случайное имя файла>.dll — около 6 КБ, инфицирован Net-Worm.Win32.Padobot.z;
    * %System%\drivers\ndisrd.sys — около 15 КБ, чистый файл;
    * %System%\<случайное имя файла>.exe — около 14 КБ, инфицирован Net-Worm.Win32.Padobot.z;
    * %System%\<случайное имя файла>.dll — около 11 КБ, инфицирован Trojan-Spy.Win32.Qukart.s. 

Червь создает следующие ключи в системном реестре:


[HKCR\CLSID\{случайный номер CLSID}\InprocServer32]
 (default)="%System%\<случайное имя файла>.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"<произвольное значение>"={случайный номер CLSID}

[HKCU\Software\Microsoft\Windows]
 "ifc"="0x00000000"

Распространение

Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.

Действие

Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.

Также червь отслеживает открытые окна Internet Explorer и сохраняет информацию с открываемых сайтов. Собранная информация отсылается автору червя.