Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! Worm.Win32.Aler.a

Jest to robak wyposażony w procedurę backdoor. Nie posiada funkcji pozwalającej mu na automatyczne rozprzestrzenianie się za pośrednictwem poczty elektronicznej, lecz został rozpowszechniony w wiadomościach e-mail przy użyciu technik spamerskich. Szkodnik rozprzestrzenia się poprzez zasoby sieciowe.

Cechy charakterystyczne wiadomości e-mail zawierających robaka

  • Temat:
    Latest News about Arafat!!!
    Message body
    Hello guys!
    Latest news about Arafat!
    Unimaginable!!!!!
    
  • Nazwa załącznika - zainfekowane wiadomości zawierają dwa pliki. Pierwszy z nich to standardowy plik JPEG:
    arafat_1.emf

    Drugi plik posiada nazwę:

    arafat_2.emf

    Plik ten wykorzystuje lukę EMF. Więcej informacji na temat tej luki w biuletynie MS04-032 firmy Microsoft.

Instalacja

Po uruchomieniu zainfekowanego pliku robak tworzy w folderze \Windows\System następujące pliki:

Alerter.exe
Comwsock.dll
Dmsock.dll
Mst.tlb
SCardSer.exe
Spc.exe
Spoolsv.exe
Sptres.dll

W celu oznaczenia zainfekowanego komputera robak dodaje własny kod do aktywnych procesów systemowych, takich jak explorer.exe, lsass.exe, outlook.exe.

Szkodnik tworzy w rejestrze systemowym następujące wpisy:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog]
'Display name': "Net Login Helper"
'ImagePath': %System%\SCardSer.exe

Rozprzestrzenianie - zasoby sieciowe

Robak skanuje losowe adresy IP w poszukiwaniu komputerów działających pod kontrolą systemu Windows i zabezpieczonych "słabymi hasłami". Podczas prób łączenia się z potencjalnymi ofiarami szkodnik wykorzystuje następującą listę haseł:

0
0
111
123
1234
12345
54321
111111
123456
654321
888888
1234567
11111111
12345678
88888888
!@#$
!@#$%
!@#$%^
~!@#
123!@#
1234!@#$
12345!@#$%
admin
fan@ing*
oracle
pass
passwd
password
root
secret
security
stgzs
super

Po nawiązaniu połączenia ze zdalnym komputerem robak umieszcza na nim własną kopię o nazwie Alerter.exe lub Alerter16.exe.

Funkcja dodatkowa

Robak otwiera losowy port TCP i śledzi jego aktywność. Port ten może być wykorzystywany do realizowania zdalnych poleceń oraz do pobierania plików. W32.Scard (Symantec),   W32/Mofei-E (Sophos),   WORM_GOLTEN.A (Trend Micro),   Worm/Aler.A.5 (H+BEDV),   W32/Aler.A (FRISK),   Win32.Mofei.E (SOFTWIN),   W32/Aler.A.worm (Panda),   Win32/Golten.A (Eset)



 2004-11-26  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych