Worm.Win32.Aler.a

Jest to robak wyposa偶ony w procedur臋 backdoor. Nie posiada funkcji pozwalaj膮cej mu na automatyczne rozprzestrzenianie si臋 za po艣rednictwem poczty elektronicznej, lecz zosta艂 rozpowszechniony w wiadomo艣ciach e-mail przy u偶yciu technik spamerskich. Szkodnik rozprzestrzenia si臋 poprzez zasoby sieciowe.

Cechy charakterystyczne wiadomo艣ci e-mail zawieraj膮cych robaka

  • Temat:
    Latest News about Arafat!!!
    Message body
    Hello guys!
    Latest news about Arafat!
    Unimaginable!!!!!
    
  • Nazwa za艂膮cznika - zainfekowane wiadomo艣ci zawieraj膮 dwa pliki. Pierwszy z nich to standardowy plik JPEG:
    arafat_1.emf

    Drugi plik posiada nazw臋:

    arafat_2.emf

    Plik ten wykorzystuje luk臋 EMF. Wi臋cej informacji na temat tej luki w biuletynie MS04-032 firmy Microsoft.

Instalacja

Po uruchomieniu zainfekowanego pliku robak tworzy w folderze WindowsSystem nast臋puj膮ce pliki:

Alerter.exe
Comwsock.dll
Dmsock.dll
Mst.tlb
SCardSer.exe
Spc.exe
Spoolsv.exe
Sptres.dll

W celu oznaczenia zainfekowanego komputera robak dodaje w艂asny kod do aktywnych proces贸w systemowych, takich jak explorer.exe, lsass.exe, outlook.exe.

Szkodnik tworzy w rejestrze systemowym nast臋puj膮ce wpisy:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices etlog]
'Display name': "Net Login Helper"
'ImagePath': %System%SCardSer.exe

Rozprzestrzenianie - zasoby sieciowe

Robak skanuje losowe adresy IP w poszukiwaniu komputer贸w dzia艂aj膮cych pod kontrol膮 systemu Windows i zabezpieczonych "s艂abymi has艂ami". Podczas pr贸b 艂膮czenia si臋 z potencjalnymi ofiarami szkodnik wykorzystuje nast臋puj膮c膮 list臋 hase艂:

0
0
111
123
1234
12345
54321
111111
123456
654321
888888
1234567
11111111
12345678
88888888
!@#$
!@#$%
!@#$%^
~!@#
123!@#
1234!@#$
12345!@#$%
admin
fan@ing*
oracle
pass
passwd
password
root
secret
security
stgzs
super

Po nawi膮zaniu po艂膮czenia ze zdalnym komputerem robak umieszcza na nim w艂asn膮 kopi臋 o nazwie Alerter.exe lub Alerter16.exe.

Funkcja dodatkowa

Robak otwiera losowy port TCP i 艣ledzi jego aktywno艣膰. Port ten mo偶e by膰 wykorzystywany do realizowania zdalnych polece艅 oraz do pobierania plik贸w. W32.Scard (Symantec),   W32/Mofei-E (Sophos),   WORM_GOLTEN.A (Trend Micro),   Worm/Aler.A.5 (H+BEDV),   W32/Aler.A (FRISK),   Win32.Mofei.E (SOFTWIN),   W32/Aler.A.worm (Panda),   Win32/Golten.A (Eset)