Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Worm.Win32.Randon - instaluje konia trojańskiego

Jest to robak rozprzestrzeniający się przez kanały IRC oraz w sieci lokalnej. Instaluje się w folderach ZXZ oraz ZX, które zapisywane są w folderze systemowym Windows. Po udanej instalacji szkodnik pobiera z internetu konia trojańskiego i instaluje go w zainfekowanym systemie.

Szkodnik tworzy w rejestrze systemowym klucz auto-run dla swojego podstawowego modułu:

HKLM\\Software\Microsoft\Windows\CurrentVersion\
Run\updateWins

Następnie robak uruchamia ten klucz, ukrywa się przy użyciu jednego z własnych modułów, łączy się z serwerem IRC i uruchamia swoje skrypty. Poza wykonywaniem ataków DDoS (ang. Distributed Denial of Service) i bombardowaniem kanałów IRC szkodnik szuka otwartego portu 445 i instaluje konia trojańskiego.

Rozprzestrzenianie

Po wykryciu otwartego portu 445 robak uruchamia pliki sencs.bat oraz incs.bat, które podejmują próbę nawiązania połączenia ze zdalnym komputerem przy użyciu następującej listy haseł:

"admin", "administrator", "root", "admin", "test", "test123", "temp", "temp123", "pass", "password", "changeme"

Jeżeli połączenie zostanie nawiązane szkodnik otwiera port 445, przenosi do zdalnego systemu konia trojańskiego TrojanDownloader.Win32.Apher.Gen i instaluje go. Podrzucony trojan pobiera z internetu pełną wersję robaka i instaluje go w systemie.

Informacje dodatkowe

Oto pełna lista składników robaka Randon:

  • Deta.exe - wykonywalny plik Win32 ukrywający proces robaka;
  • fControl.a - skrypt IRC odpowiedzialny za skanowanie portów oraz infekowanie zdalnych komputerów;
  • IfCOntrol.a - skrypt IRC odpowiedzialny za bombardowanie kanałów IRC oraz wykonywanie ataków DDoS;
  • incs.bat - plik wsadowy łamiący hasła dostępu do zdalnych zasobów;
  • Libparse.exe - narzędzie "PrcView";
  • psexec.exe - narzędzie "PsExec";
  • rcfg.ini - moduł odpowiedzialny za ładowanie skryptów;
  • rconnect.conf - plik konfiguracyjny;
  • reader.w - lista pseudonimów wykorzystywana podczas łączenia się z kanałami IRC;
  • Sa.exe - kod konia trojańskiego TrojanDownloader.Win32.Apher.Gen;
  • scontrol.a - pomocniczy skrypt IRC;
  • sencs.bat - plik wsadowy przenoszony do zdalnych komputerów, odpowiedzialny za uruchomienie trojana;
  • systrey.exe - przemianowany plik wykonywalny klienta mIRC.


 2003-03-06  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych