Net-Worm.Win32. Gimmiv.a

Червь, распространяющийся по локальным сетям через уязвимость в обработке RPC запросов.

Червь, распространяющийся по локальным сетям через уязвимость в обработке RPC запросов. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 311296 байт.

Инсталляция

Копирует свой исполняемый файл как:

%System%\wbem\sysmgr.dll

Так же извлекает из своего тела следующие файлы:

%System%\wbem\winbase.dll – 49152 байт.
%System%\wbem\winbaseInst.exe – 57344 байт.
%System%\wbem\basesvc.dll – 311296 байт.
%System%\wbem\syicon.dll – 200704 байт.

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\sysmgr]

При следующей загрузке Windows исполняемый файл червя будет запущен как служба, а его оригинальный исполняемый файл удален.

Распространение

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку использующую уязвимость переполнение буфера MS08-067 в сервисе «Сервер»(http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера в функции NetPathCanonicalize, в результате чего запускается специальный код-загрузчик, который скачивает из интернет последнюю версию исполняемого файла червя по следующей ссылке:

http://59.106.145.***/n2.exe

И запускает его.

Деструктивная активность

Червь похищает пароли к учетным записям следующих программ:

Outlook Express
MSN Messenger

Также червь извлекает защищенную информацию из Protected Storage.

Так же червь собирает информацию о том, установлено ли на зараженном компьютере следующее антивирусное ПО:

BitDefender Antivirus
Jiangmin Antivirus
Kingsoft Internet Security
Kaspersky Antivirus
Microsoft's OneCare Protection
Rising Antivirus
Trend Micro

Собранные данные отсылаются на сайт злоумышленников в HTTP запросе:

http://59.106.145.***/pr/update.php