Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Worm.Win32.Mofeir - atakuje w sieciach lokalnych

Jest to robak sieciowy wyposażony w procedurę backdoor. Składa się z dwóch elementów - modułu EXE oraz biblioteki DLL - mających postać plików PE EXE stworzonych przy użyciu środowiska programistycznego Microsoft Visual C++ i skompresowanych narzędziem UPX.

Rozmiary składników robaka mogą się różnić w zależności od wersji:

  • plik EXE - około 35-43 KB (po rozpakowaniu około 58-62 KB),
  • plik DLL - około 20 KB (po rozpakowaniu około 57 KB).

W kodzie szkodnika zaszyfrowano następujący tekst:

MoFei Version 1.0.1.0

oraz komunikat, który nigdy nie pojawia się na ekranie:

Smart Card Helper
Enables support for legacy non-plug and play smart-card readers used by this computer. If this service is stopped, this computer will not support legacy reader. If this service is disabled, any services that explicitly depend on it will fail to start.

Instalacja

Po uruchomieniu zainfekowanego pliku robak kopiuje się z nazwą "scardsvr32.exe" do katalogu SYSTEM32 znajdującego się w folderze Windows i tworzy w rejestrze systemowym klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices SCardDrv = %nazwa pliku robaka%

Następnie szkodnik tworzy w tym samym folderze plik "scardsvr32.dll" i zapisuje w nim własny składnik DLL, który po uruchomieniu łączy się z procesem "EXPLORER.EXE" oraz "LSASS.EXE" (działa jako podproces) i aktywuje procedurę rozprzestrzeniającą oraz backdoor.

Szkodnik tworzy także dwa dodatkowe pliki:

  • "MoFei.DAT" - plik raportu,
  • "MoFei.VER" - plik zawierający numer wersji robaka.

Rozprzestrzenianie

Robak skanuje za pośrednictwem portu 135 oraz 139 podsieci klasy B oraz C (maski "a.b.c.??" oraz "a.b.??.??"), a także wybierane losowo. Jeżeli zostanie wykryty komputer z otwartym portem robak podejmuje próbę nawiązania połączenia przy użyciu różnych identyfikatorów oraz haseł.

W przypadku pomyślnego nawiązania połączenia robak kopiuje się z nazwą "scardsvr32.exe" do folderu SYSTEM32 znajdującego się na atakowanym komputerze.

Procedura backdoor

Robak otwiera połączenie INet i oczekuje na polecenia hakera, który może zdalnie wykonywać następujące czynności na zainfekowanym komputerze:

  • otwieranie dostępu do zainfekowanego systemu (poprzez uruchomienie pliku CMD.EXE,
  • pobieranie pliku z podanego adresu URL,
  • uruchamianie pliku,
  • wysyłanie, odbieranie oraz usuwanie plików.


 2003-06-18  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych