W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.
При запуске W32.Donk.S выполняет следующие действия:
1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe
2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:
• w3.org • geocities.com • freewebpage.org • fortunecity.co.uk • angelfire.com • warez.com • sms.ac • isohunt.com • wincustomize.com • ftp.as.ro • dot.tk • irc.dal.net • irc.undernet.org • hotmail.com • msn.com • google.com • yahoo.comЕсли червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.
Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т
Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:
127.0.0.1 www.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 rads.mcafee.com 127.0.0.1 customer.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 updates.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 secure.nai.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 my-etrust.com 127.0.0.1 mast.mcafee.com 127.0.0.1 ca.com 127.0.0.1 www.ca.com 127.0.0.1 networkassociates.com 127.0.0.1 www.networkassociates.com 127.0.0.1 avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 kaspersky.com 127.0.0.1 www.f-secure.com 127.0.0.1 f-secure.com 127.0.0.1 viruslist.com 127.0.0.1 www.viruslist.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mcafee.com 127.0.0.1 www.mcafee.com 127.0.0.1 sophos.com 127.0.0.1 www.sophos.com 127.0.0.1 symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 www.symantec.com2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:
• SST • database • sql • Root • admin • Guest • home • Administrateur • Verwalter • User • Default • administrator • AdministratorПароли:
• 101 • pw • mypass • pw123 • admin123 • 557 • mypc • love • pass • pwd • Login • login • owner • xxx • home • zxcv • yxcv • qwer • secret • asdf • pc • win • temp123 • temp • test123 • test • abc • aaa • a • sex • god • root • administrator • alpha • 007 • 123abc • 0 • 2003 • 2002 • xp • enable • 123asd • super • Internet • computer • server • 123qwe • sybase • oracle • abc123 • abcd • database • passwd • pass • 111 • 54321 • 654321 • 123456789 • 1234567 • 123 • 12 • 1 • Password • Admin • admin • 1234 • 12345 • 12345678 • letmein • qwerty • 7777 • 1111 • asd#321 • 6969 • 123456 • passwordВ случае успеха, червь копирует себя в следующие каталоги на удаленной системе:
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup • C:\WINDOWS\Start Menu\Programs\Startup • C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup • \WINNT\Profiles\All Users\Start Menu\Programs\Startup • \WINDOWS\Start Menu\Programs\Startup • \Documents and Settings\All Users\Start Menu\Programs\Startup3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:
• %Temp%\upd32a.exe • %Temp%\kspd32a.exe • %System%\navinst.exe4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.
Спойлер: мы раскрываем их любимые трюки