Backdoor.Win32. VanBot.az

Троянская программа удаленного администрирования, позволяющая злоумышленнику выполнять операции на компьютере пользователя при помощи управления по протоколу IRC.

Троянская программа удаленного администрирования, позволяющая злоумышленнику выполнять операции на компьютере пользователя при помощи управления по протоколу IRC. Является приложением Windows (PE EXE- файл). Имеет размер 214016 байт.

Инсталляция

При запуске бэкдор копирует свой исполняемый файл в системный каталог Windows:

%System%\eupsvc.exe

Ссылка на данный файл добавляется в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"EUP Service" = "%System%\eupsvc.exe"

После этого оригинальный запускаемый файл вируса удаляется.

Деструктивная активность

Бэкдор завершает системные процессы, главные окна которых содержат следующие строки:

OLLYDBG
File Monitor
Registry Monitor

Вредоносная программа пытается установить соединение с IRC-сервером злоумышленника и в случае успешного подключения регистрируется под именем, содержащим информацию о зараженной системе.

Данный вирус предназначен для тестирования компьютеров в пользовательской сети с последующим предоставлением отчета о найденных уязвимостях злоумышленнику.

Посылая программе команды через IRC, злоумышленник может выполнять следующие действия:

* производить поиск компьютеров в сети пользователя, имеющих уязвимость переполнения буфера в системной службе MS06-040 (подробнее об этом — на сайте Microsoft.com);

* распространять бэкдор на другие сетевые компьютеры, обладающие указанной уязвимостью;

* производить поиск машин с запущенным MSSQL Server; при нахождении такого компьютера бэкдор пытается подключиться к серверу на правах администратора, последовательно перебирая пароли из списка:

 

administrator
administrador
administrateur
administrat
admins
admin
adm
password1
password
passwd
pass1234
pass
pwd
007
1
12
123
1234
12345
123456
1234567
12345678
123456789
1234567890
2000
2001
2002
2003
2004
test
guest
none
demo
unix
linux
changeme
default
system
server
root
null
qwerty
mail
outlook
web
www
internet
accounts
accounting
home
homeuser
user
oem
oemuser
oeminstall
windows
win98
win2k
winxp
winnt
win2000
qaz
asd
zxc
qwe
bob
jen
joe
fred
bill
mike
john
peter
luke
sam
sue
susan
peter
brian
lee
neil
ian
chris
eric
george
kate
bob
katie
mary
login
loginpass
technical
backup
exchange
fuck
bitch
slut
sex
god
hell
hello
domain
domainpass
domainpassword
database
access
dbpass
dbpassword
databasepass
data
databasepassword
db1
db2
db1234
sa
sql
sqlpassoainstall
orainstall
oracle
ibm
cisco
dell
compaq
siemens
hp
nokia
xp
control
office
blank
winpass
main
lan
internet
intranet
student
teacher
staff

* загружать с заданных URL на компьютер пользователя файлы и запускать их на исполнение;

* создавать SOCKS4 прокси-сервер на указанном TCP-порте;

* создавать HTTP прокси-сервер на указанном TCP-порте;

* запускать на компьютере пользователя FTP-сервер, после подключения к которому злоумышленник получает возможность доступа к файлам на жестком диске.