sobota 19. května 2012

Worm:Win32/Pushbot


Encyklopedický vstup
Aktualizováno: 17.dubna 2011  |  Zveřejněno: Feb 06, 2008 Aliasy


  • W32/Sdbot.worm.gen.ca (McAfee)
  • SDBot.gen8 (Norman)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: 
Definice: 1.125.1760.0 
Vydáno: 13.května 2012
Detekce původně vytvořeny:
Definice: 1.45.287.0
Datum vydání: Říjen 07, 2008


Na této stránce



 

Shrnutí

Worm:Win32/Pushbotje detekce pro rodinu malware, který se šíří prostřednictvím programu MSN Messenger a AIM, když přikázal, aby od vzdáleného útočníka. Tento červ obsahuje backdoor funkce, která umožňuje neoprávněný přístup a kontrolu nad postiženým stroje.


 

Příznaky

Systémové změny
Příznaky se mohou měnit mezi variantami Worm:Win32/Pushbot rodina - příklad systémových změn provedených Worm:Win32/Pushbot. BD jsou uvedeny níže:
  • Přítomnost následující soubor:% windir% \ svchost.exe
  • Přítomnost těchto registru změnami:
    Přidává hodnotu: "Windows Internet Manager"
    Vzhledem k objemu dat: "svchost.exe"
    Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \


 

Technické informace (analýza)

Worm:Win32/Pushbotje rodina červů, které se šíří prostřednictvím programu MSN Messenger, když přikázal, aby od vzdáleného útočníka. Tento červ obsahuje backdoor funkce, která umožňuje neoprávněný přístup a kontrolu nad postiženým stroje.
Instalace
Po spuštění Worm:Win32/Pushbotzkopíruje jako spustitelný soubor do složky% windir adresáře a nastaví atributy tohoto souboru pouze pro čtení, skryté a systémové. To pak upravuje registr tak, aby zajistila, že tato kopie se provádí při každém startu Windows (jako v tomto případě proWorm:Win32/Pushbot. IG): Přidává hodnotu: "Kurýrní služba" Vzhledem k objemu dat: "service.exe" Pro všechny klíče: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \



 
Některé varianty přidat také podobné hodnoty registru na následující klíče:
 
pak uvádí na trh novou kopii sebe sama, a odstraní původní.


 
To vytváří mutex, který se může lišit pro každou variantu (např. "WindowsUpdateID39512") s cílem zajistit, aby více kopií červa neběží současně.
 
Worm:Win32/Pushbotvarianty se mohou pokusit zamaskovat sebe jako obrázek nebo video souborů. V důsledku toho mohou být zabaleny s čistým videa aktualizace software přehrávače, nebo krabic zobrazení zpráv, jako je následující, s názvem Windows Microsoft Viewer "obsahuje text" Obrázek nelze zobrazit . ":
 
Se šíří ...
MSN Messenger a AIM
Použití backdoor funkce (viz bod níže Payload pro další podrobnosti) Worm:Win32/Pushbotlze objednat k šíření prostřednictvím MSN Messenger vzdáleného útočníka. Odešle zprávu na všechny nakažený uživatele kontaktů. Některé varianty se mohou rozšířit i pomocí jiných programů rychlého zasílání zpráv, jako je AIM.
 
Červ je možné objednat k odesílání zpráv, které mohou obsahovat URL směřující na vzdálené hostitelem kopie sebe sama. Zpráva může být správcem přes IRC backdoor. Některé varianty místo může připojit na zip kopii sebe na zprávu a / nebo náhodně vybrat zprávy ze seznamu. Jako příklad, některé varianty používají následující zprávy:
 
  • WoW? je to opravdu vy ... co to sakra kde si pití: D
  • LOL, vypadáš tak ošklivá na tomto obrázku, žádný vtip ...
  • Měl bych si tohle na facebook / myspace?
  • Hej M8, který je to na pravé straně, na obrázku ...
  • Sup, viděl obrázky z druhé noci?
 
Odnímatelný pohony
Některé variantyWorm:Win32/Pushbotmůže šířit také kopírováním se na vyměnitelné jednotky (jiné než A: nebo B:, jako klíče USB paměti). Ty se dostaly na recyklaci \ \ S-1-6-21-2434476501-1644491937-600003330-1213 složky, spolu se souborem s názvem Desktop.ini, jehož obsah ukazují do operačního systému, které složka by měla být zobrazeny jako Koš. Oni také umístit soubor autorun.inf v kořenovém adresáři disku, což znamená, že zkopírovat soubor by měl být spuštěn, pokud je připojen disk.
 
Peer to peer sítě
Některé varianty mohou být nařízeno, aby se šíří kopírováním na sdílených adresářů různých peer-to-peer sdílení souborů programů, používat názvy souborů, jako jsou následující:
 
Windows Live heslo Adobe PhotoShop CS3.exe KEY-GEN Kaspersky 2009.exe KEY-GEN ESET NOD32 3.0.650.exe KEY-GEN Ahead Nero 8 Ultra Edition.exeMicrosoft Office 2007.exe Kaspersky 7.0 všechny versions.exe Windows XP pravá keygen.exe okna xp aktivace hack 2008.exe windows xp aktivace hack 2007.exe











 
Používané adresáře mohou zahrnovat:
 
% ProgramFiles% \ Ares \ My Shared Folder \
% ProgramFiles% \ Direct Connect \ Received Files \
% ProgramFiles% \ KMD \ My Shared Sdílené Sdílené složky \ % ProgramFiles% \ Grokster \ My Grokster \ % ProgramFiles% \ Kazaa Lite \ My Shared Folder \ % ProgramFiles% \ Kazaa \ My Shared Folder \ \ My Shared Folder \



















 
Užitečná
Backdoor funkce
Po instalaci, Červ se připojuje k IRC serveru (například "services.msnservers.net") na určeném portu TCP a čeká na instrukce. Pomocí backdoor, může vzdálený útočník provádět celou řadu akcí na postižené stroje, včetně následujících:
  • Šířit prostřednictvím instant messaging
  • Zastavit šíření instant messaging
  • Aktualizuje
  • Odstranit se
  • Stáhnout a spustit libovolný soubor
Některé varianty mohou být také schopny provádět jednu nebo více z těchto doplňkových činností:
  • Šířit prostřednictvím vyměnitelných jednotek
  • Šířit prostřednictvím peer-to-peer sítí
  • Pokus o ukončení další zadní vrátka běžící na systému tím, že vyhledávání v paměti jiných běžících procesů pro jednotlivé řetězce.
  • Účast v Distributed Denial of Service útoků
  • Přidat další instant messaging kontakty
  • Poslat další zprávy uživatele kontakty
  • Přesměrování bankovní weby na určené místo (viz upravuje Hosts soubor níže)
  • Načtení dat ze systému Windows Storage Chráněné . To může zahrnovat automatické kompletní data a uložená hesla z aplikace Internet Explorer, Outlook a MSN Messenger.
  • Připojení na webové stránky bez stahování souborů
  • Návrat různých šíří a statistiky dostupnosti
 
Upraví nastavení systémuNěkteré varianty pokus provést dodatečné změny systému úpravou registru, soubor hosts, nebo zastavení služby. Například, červ pokusí zakázat Správce úloh tím, že v registru následující úpravy:
přidanou hodnotu: "DisableTaskMgr"
s údaji: "1"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
 
Může se také pokusit zakázat několik programů tím, že změny níže:
 
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ DisallowRun
Přidává hodnotu: "msncleaner.exe"
Vzhledem k objemu dat: "1"
Přidává hodnotu: "avp.exe"
Vzhledem k objemu dat: "2"
přidanou hodnotu " kav.esp "
Vzhledem k objemu dat: "3"
Přidává hodnotu: "kav.eng"
Vzhledem k objemu dat: "4"
Přidává hodnotu: "msconfig.exe"
s údaji: "5"
 
Zastaví Služby
Ostatní varianty se snaží zastavit tyto služby:
Centrum zabezpečení
Winvnc4
 
Ukončí procesy
Některé varianty pokusí ukončit procesy, jako jsou následující:
kav.exe
sndsrvc.exe
taskman.exe
Mrt.exe
ethereal.exe
WPE











 
Upravuje Hosts soubor
Některé varianty pokusu o uživateli zabránit v návštěvě stránek týkajících se bezpečnosti přidáním položky do souboru v <system folder> \ drivers \ etc \ hostitelů. Například, jedna varianta pozorován použít následující:

82.165.237.14
82.165.250.33
avp.com
ca.com
casablanca.cz
customer.symantec.com
d-eu-1f.kaspersky-labs.com
d-eu-1h.kaspersky-labs.com
d-eu-2f.kaspersky-labs.com
d-eu-2h.kaspersky-labs.com
d-ru-1f.kaspersky-labs.com
d-ru-1h.kaspersky-labs.com
d-ru-2f.kaspersky-labs.com
d-ru-2h.kaspersky-labs.com
d-us-1f.kaspersky-labs.com
d-us-1h.kaspersky-labs.com
d66.myleftnut.info
dispatch.mcafee.com
download.mcafee.com
downloads-us1.kaspersky.com
downloads1.kaspersky.com
downloads1.kaspersky.ru
downloads2.kaspersky.com
downloads2.kaspersky.ru
downloads3.kaspersky.ru
downloads4.kaspersky.ru
downloads5.kaspersky.ru
ebay.com
eset.casablanca.cz
eset.com
f-secure.com
ftp.downloads1.kaspersky-labs.com
ftp.downloads2.kaspersky-labs.com
grisoft.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
metalhead2005.info
microsoft.com
moneybookers.com
my-etrust.com
nai.com
networkassociates.com
nod32.com
norton.com
pandasoftware.com
paypal.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
u2.eset.com
u3.eset.com
u4.eset.com
u7.eset.com
update.symantec.com
updates-us1.kaspersky.com
updates.symantec.com
updates1.kaspersky-labs.com
updates1.kaspersky.com
updates2.kaspersky-labs.com
updates2.kaspersky.com
updates3.kaspersky-labs.com
updates3.kaspersky.com
us.mcafee.com
viruslist.com
virustotal.com
www.amazon.ca
www.amazon.co.uk
www.amazon.com
www.amazon.fr
www.avp.com
www.ca.com
www.ebay.com
www.eset.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.moneybookers.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.nod32.com
www.norton.com
www.pandasoftware.com
www.paypal.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.virustotal.com
Jiné varianty se může pokusit o přesměrování návštěvníků na různých bankovních míst na místo určené backdoor v regulátoru. Tyto stránky mohou obsahovat jednu nebo více z následujících skupin:
 
  • santander.com.mx
    www.santander.com.mx
    www.santander-serfin.com
    Santander-serfin.com 
 
  • www.hsbc.com.mx
    hsbc.com.mx 
    conexion.bital.com.mx
 
  • www.bancoazteca.com.mx
    bancoazteca.com.mx
    www.bancoazteca.com
    bancoazteca.com 
 
  • www.banorte.com
    banorte.com
 
  • www.bancomer.com.mx
    www.bancomer.com
    bancomer.com
    bancomer.com.mx
 
  • inverweb1.scotiabankinverlat.com
    inverweb2.scotiabankinverlat.com
    inverweb3.scotiabankinverlat.com
    www.scotiabank.com.mx
    scotiabank.com.mx
    www.inverlat.com
    inverlart.com
    www.inverlat.com.mx
    inverlat.com.mx
    www.scotiabankinverlat.com
    scotiabankinverlat.com
    www.scotiabankinverlat.com.mx
    scotiabankinverlat.com.mx
    www.see.sbi.com.mx
    see.sbi.com.mx
 
  • banamex.com.mx
    www.banamex.com.mx
    banamex.com
    www.banamex.com
    www.bancanetempresarial.banamex.com.mx
    bancanetempresarial.banamex.com.mx
    boveda.banamex.com.mx
    boveda.banamex.com
 
Backdoor je regulátor může také být schopen určit další stránky přesměrovat.

Žádné komentáře:

Okomentovat