Net-Worm.Win32.Bozori.a
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), написан на языке Visual C++, имеет размер 10366 байт, упакован UPX. Размер распакованного файла — около 20 KБ
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), написан на языке Visual C++, имеет размер 10366 байт, упакован UPX. Размер распакованного файла — около 20 KБ.
Червь распространяется, используя уязвимость Microsoft Windows Plug and Play Service Vulnerability (MS05-039).
Принцип работы червя очень схож с тем, что был использован в червях Lovesan (в августе 2003 года) и Sasser (в мае 2004 года), за исключением того, что Lovesan и Sasser использовали уязвимости в других службах Windows — RPC DCOM и LSASS.
Заражению подвержены компьютеры, работающие под управлением Windows 2000. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.
Червь содержит в себе функцию бекдора, принимающего команды по каналам IRC.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с именем wintbp.exe:
%System%\wintbp.exe
Червь регистрирует этот файл в ключах автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "wintbp.exe"="wintbp.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
После чего оригинальный запускаемый файл удаляется.
Червь создает уникальный идентификатор «wintbp.exe» для определения своего присутствия в системе.
Распространение по сети
Червь открывает на зараженном компьютере TFTP-сервер на порту UDP 69, после чего запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, открывает на нем TCP-порт 8594 и загружает свою копию на уязвимый компьютер. После чего запускает на исполнение свою копию на удаленной машине.
Удаленное администрирование
Net-Worm.Win32.Bozori.a соединяется с IRC-сервером 72.20.**.115 для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Прочее
После заражения инфицированная машина выводит сообщение об ошибке, после чего может попытаться перезагрузиться.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!