Backdoor.Win32.VanBot.by
Backdoor ko艅czy procesy, je艣li g艂贸wne okno procesu zawiera jeden z nast臋puj膮cych ci膮g贸w:
OLLYDBG File Monitor Registry Monitor
Backdoor pr贸buje po艂膮czy膰 si臋 z serwerem IRC zdalnego szkodliwego u偶ytkownika. Nast臋pnie rejestruje si臋 pod nazw膮 zawieraj膮c膮 informacje o zainfekowanym systemie.
Celem backdoora jest sprawdzenie komputer贸w pod k膮tem r贸偶nych luk w zabezpieczeniach oraz dostarczenie zdalnemu szkodliwemu u偶ytkownikowi raportu o wykrytych lukach.
Poprzez wysy艂anie backdoorowi polece艅 przez IRC zdalny szkodliwy u偶ytkownik b臋dzie m贸g艂:
- skanowa膰 sie膰 u偶ytkownika w celu znalezienia komputera zawieraj膮cego luk臋 przepe艂nienia buforu w us艂udze serwera (luka ta zosta艂a opisana w Microsoft Security Bulletin MS06-040);
- rozprzestrzenia膰 backdoora na inne komputery w sieci zawieraj膮ce luk臋 MS06-040;
- skanowa膰 sie膰 w celu znalezienia komputer贸w z uruchomionym serwerem MSSQL. Po znalezieniu takiego komputera backdoor b臋dzie pr贸bowa艂 po艂膮czy膰 si臋 z serwerem z prawami administratora poprzez wykorzystywanie kolejnych hase艂 z poni偶szej listy:
administrator administrador administrateur administrat admins admin adm password1 password passwd pass1234 pass pwd 007 1 12 123 1234 12345 123456 1234567 12345678 123456789 1234567890 2000 2001 2002 2003 2004 test guest none demo unix linux changeme default system server root null qwerty mail outlook web www internet accounts accounting home homeuser user oem oemuser oeminstall windows win98 win2k winxp winnt win2000 qaz asd zxc qwe bob jen joe fred bill mike john peter luke sam sue susan peter brian lee neil ian chris eric george kate bob katie mary login loginpass technical backup exchange fuck bitch slut sex god hell hello domain domainpass domainpassword database access dbpass dbpassword databasepass data databasepassword db1 db2 db1234 sa sql sqlpassoainstall orainstall oracle ibm cisco dell compaq siemens hp nokia xp control office blank winpass main lan internet intranet student teacher staff
- umie艣ci膰 pliki na komputerze u偶ytkownika z adresu URL wyszczeg贸lnionego przez zdalnego szkodliwego u偶ytkownika oraz uruchomi膰 te pliki w celu wykonania;
- uruchomi膰 serwer proxy SOCKS4 w wyznaczonym porcie TCP;
- uruchomi膰 serwer proxy HTTP w wyznaczonym porcie TCP;
- uruchomi膰 serwer FTP na komputerze u偶ytkownika. Zdalny szkodliwy u偶ytkownik b臋dzie wtedy m贸g艂 po艂膮czy膰 si臋 z tym serwerem oraz zdoby膰 dost臋p do plik贸w na dysku twardym.
Komputery zainfekowane backdoorem stan膮 si臋 cz臋艣ci膮 botnet贸w zarz膮dzanych przez zdalnych szkodliwych u偶ytkownik贸w.
Backdoor pobiera pliki z nast臋puj膮cych adres贸w URL:
- http://69.13.132.***/sock.exe — w momencie tworzenia tego opisu odno艣nik ten nie dzia艂a艂;
- http://210.22.13.***/MS0ffice.exe — plik ten ma rozmiar 91 862 bajt贸w i jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako
SpamTool.Win32.Delf.d .
Pobrane pliki zostan膮 zapisane jako:
C:sock.exe C:office.exe
Pliki te s膮 nast臋pnie uruchamiane w celu wykonania.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu backdoora
- Usu艅 oryginalny plik backdoora (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera)
- Usu艅 nast臋puj膮ce pliki:
C:sock.exe C:office.exe
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus)