Backdoor.Win32. VanBot.by

Троянская программа удаленного администрирования, позволяющая злоумышленнику выполнять операции на компьютере пользователя при помощи управления по протоколу IRC.

Троянская программа удаленного администрирования, позволяющая злоумышленнику выполнять операции на компьютере пользователя при помощи управления по протоколу IRC. Является приложением Windows (PE EXE-файл). Имеет размер 265728 байт.

Деструктивная активность

Данный бэкдор завершает процессы, главные окна которых содержат следующие строки:

OLLYDBG
File Monitor
Registry Monitor

Вирус пытается установить соединение с IRC-сервером злоумышленника и в случае успешного подключения регистрируется под именем, содержащим информацию о зараженной системе.

Бэкдор предназначен для тестирования компьютеров в пользовательской сети на различные уязвимости с последующим предоставлением отчета злоумышленнику.

Посылая бэкдору команды через IRC, злоумышленник может выполнять следующие действия:

* производить поиск машин в сети пользователя, имеющих уязвимость переполнения буфера в системной службе MS06-040 (подробнее об этом — на сайте Microsoft.com);

* распространять вирус на другие компьютеры в сети, обладающие указанной уязвимостью;

* осуществлять поиск компьютеров в сети, на которых запущен MSSQL Server; при нахождении такого компьютера бэкдор пытается подключиться к серверу на правах администратора, последовательно перебирая пароли из следующего списка:

      administrator
administrador
administrateur
administrat
admins
admin
adm
password1
password
passwd
pass1234
pass
pwd
007
1
12
123
1234
12345
123456
1234567
12345678
123456789
1234567890
2000
2001
2002
2003
2004
test
guest
none
demo
unix
linux
changeme
default
system
server
root
null
qwerty
mail
outlook
web
www
internet
accounts
accounting
home
homeuser
user
oem
oemuser
oeminstall
windows
win98
win2k
winxp
winnt
win2000
qaz
asd
zxc
qwe
bob
jen
joe
fred
bill
mike
john
peter
luke
sam
sue
susan
peter
brian
lee
neil
ian
chris
eric
george
kate
bob
katie
mary
login
loginpass
technical
backup
exchange
fuck
bitch
slut
sex
god
hell
hello
domain
domainpass
domainpassword
database
access
dbpass
dbpassword
databasepass
data
databasepassword
db1
db2
db1234
sa
sql
sqlpassoainstall
orainstall
oracle
ibm
cisco
dell
compaq
siemens
hp
nokia
xp
control
office
blank
winpass
main
lan
internet
intranet
student
teacher
staff

* загружать на компьютер пользователя и запускать на исполнение файлы по заданным URL;

* создавать SOCKS4 прокси-сервер на указанном TCP-порте;

* создавать HTTP прокси-сервер на указанном TCP-порте;

* запускать FTP-сервер, при подключении к которому злоумышленник может получить доступ к файлам на жестком диске.

Таким образом, зараженные троянской программой компьютеры становятся частью зомби-сети злоумышленников.

Также бэкдор загружает файлы по следующим URL:

* http://69.13.132.***/sock.exe — на момент создания описания ссылка не работала;

* http://210.22.13.***/MS0ffice.exe — имеет размер 91862 байта, детектируется Антивирусом Касперского как SpamTool.Win32.Delf.d.

Скачанные файлы сохраняются в соответствующих папках:

 

C:\sock.exe
C:\office.exe

После чего запускаются на исполнение.