24 maja 2004

UWAGA! Worm.Win32.Padobot.a

Jest to robak rozprzestrzeniający się przez internet za pośrednictwem luki w usłudze LSASS opisanej w biuletynie MS04-011 firmy Microsoft. Szkodnik powstał przy użyciu języka programowania C++ i ma rozmiar około 10 KB (kompresja UPX).

Instalacja

Po uruchomieniu robak kopiuje się do folderu systemowego Windows z losową nazwą i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WinUpdate = %system%\name of file

oraz

HKLM\SOFTWARE\Microsoft\Wireless
Server = 1

W celu oznaczenia zainfekowanych komputerów szkodnik tworzy unikatowe identyfikatory 10, u2 oraz uterm5.

Podobnie jak inne robaki wykorzystujące lukę w usłudze LSASS Padobot atakuje losowe adresy IP.

Funkcje dodatkowe

Zainfekowane komputery mogą wyświetlać komunikat o wystąpieniu błędu w usłudze LSASS i restartować się.

Robak otwiera porty TCP 113, 3067 oraz 2041 i oczekuje na polecenia hakera. Szkodnik może otrzymywać takie polecenia za pośrednictwem kilku kanałów IRC:

  • moscow-advokat.ru
  • graz.at.eu.undernet.org
  • flanders.be.eu.undernet.org
  • caen.fr.eu.undernet.org
  • brussels.be.eu.undernet.org
  • los-angeles.ca.us.undernet.org
  • washington.dc.us.undernet.org
  • london.uk.eu.undernet.org
  • lia.zanet.net
  • gaspode.zanet.org.za
  • irc.kar.net