Worm.Win32.Aler.a
- Temat:
Latest News about Arafat!!! Message body Hello guys! Latest news about Arafat! Unimaginable!!!!!
- Nazwa za艂膮cznika - zainfekowane wiadomo艣ci zawieraj膮 dwa pliki. Pierwszy z nich to standardowy plik JPEG:
arafat_1.emf
Drugi plik posiada nazw臋:
arafat_2.emf
Plik ten wykorzystuje luk臋 EMF. Wi臋cej informacji na temat tej luki w biuletynie MS04-032 firmy Microsoft.
Po uruchomieniu zainfekowanego pliku robak tworzy w folderze WindowsSystem nast臋puj膮ce pliki:
Alerter.exe Comwsock.dll Dmsock.dll Mst.tlb SCardSer.exe Spc.exe Spoolsv.exe Sptres.dll
W celu oznaczenia zainfekowanego komputera robak dodaje w艂asny kod do aktywnych proces贸w systemowych, takich jak explorer.exe, lsass.exe, outlook.exe.
Szkodnik tworzy w rejestrze systemowym nast臋puj膮ce wpisy:
'Display name': "Net Login Helper"
'ImagePath': %System%SCardSer.exe
Robak skanuje losowe adresy IP w poszukiwaniu komputer贸w dzia艂aj膮cych pod kontrol膮 systemu Windows i zabezpieczonych "s艂abymi has艂ami". Podczas pr贸b 艂膮czenia si臋 z potencjalnymi ofiarami szkodnik wykorzystuje nast臋puj膮c膮 list臋 hase艂:
0 0 111 123 1234 12345 54321 111111 123456 654321 888888 1234567 11111111 12345678 88888888 !@#$ !@#$% !@#$%^ ~!@# 123!@# 1234!@#$ 12345!@#$% admin fan@ing* oracle pass passwd password root secret security stgzs super
Po nawi膮zaniu po艂膮czenia ze zdalnym komputerem robak umieszcza na nim w艂asn膮 kopi臋 o nazwie Alerter.exe lub Alerter16.exe.
Robak otwiera losowy port TCP i 艣ledzi jego aktywno艣膰. Port ten mo偶e by膰 wykorzystywany do realizowania zdalnych polece艅 oraz do pobierania plik贸w.