21 marca 2002

Worm.Newbiero - rozprzestrzenia się w sieci lokalnej

Jest to robak rozprzestrzeniający się poprzez sieć lokalną. Wyposażony jest w procedurę backdoor umożliwiającą zdalnemu użytkownikowi kontrolowanie zainfekowanej maszyny. Wirus ma postać pliku PE EXE o rozmiarze około 160 KB i został napisany w języku programowania C++.

Po uruchomieniu robak instaluje się w systemie kopiując się z losową nazwą (przykładowo AGCMJL.EXE, CBICAR.EXE) do katalogu systemowego Windows i tworząc dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Diagnostic = %losowa nazwa pliku EXE robaka%

Następnie robak usuwa plik EXE, z którego został uruchomiony.

Dodatkowo szkodnik tworzy w katalogi systemowym Windows plik MSSE.INI i wykorzystuje go jako znacznik zainfekowania podczas rozsyłania swoich kopii w sieci lokalnej.

Rozprzestrzenianie

W celu infekowania sieci lokalnej robak skanuje adresy IP i próbuje łączyć się ze znalezionymi maszynami mapując ich twarde dyski. Jeżeli połączenie zostanie nawiązane robak kopiuje na atakowany komputer własną kopię o nazwie:

\WINDOWS\Start Menu\Programs\StartUp\mssg.exe

Jeżeli system Windows zainstalowany jest w katalogu innym niż domyślny robak nie będzie mógł utworzyć swojej kopii.

Backdoor

Procedura backdoor, w którą wyposażony jest robak umożliwia zdalnemu użytkownikowi wykonywanie na zainfekowanym komputerze następujących operacji:

  • pobieranie i uruchamianie plików EXE;
  • uruchamianie lokalnych plików EXE;
  • zamykanie systemu Windows, restartowanie komputera, wylogowywanie użytkownika;
  • uruchamianie ataków DoS (Denial of Service);
  • pobieranie informacji o loginach i hasłach wykorzystywanych na zainfekowanym komputerze.

Informacje dodatkowe

Robak próbuje wyłączać następujące firewall'e:

  • Sygate Personal Firewall,
  • Tiny Personal Firewall,
  • ZoneAlarm Pro,
  • ZoneAlarm.

Jeżeli na zainfekowanym komputerze istnieje plik "c:\logging.ini" robak tworzy własne pliki zawierające raporty:

  • c:\logs\misc.log
  • c:\logs\IPreport.log
  • c:\logs\ips.log
  • c:\logs\recived.log
  • c:\logs\yey.ini
  • c:\logs\scan.log
  • c:\logs\infections.log
  • c:\logs\servmsg.log
  • c:\logs\Fetchreport.log
  • c:\logs\opt.abc
  • c:\logs\abc.cba
  • c:\online.log