Security Lab

W32.Donk.S

W32.Donk.S

W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.

W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.

При запуске W32.Donk.S выполняет следующие действия:

1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe

2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  
1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:
  •	w3.org 
  •	geocities.com 
  •	freewebpage.org 
  •	fortunecity.co.uk 
  •	angelfire.com 
  •	warez.com 
  •	sms.ac 
  •	isohunt.com 
  •	wincustomize.com 
  •	ftp.as.ro 
  •	dot.tk 
  •	irc.dal.net 
  •	irc.undernet.org 
  •	hotmail.com 
  •	msn.com 
  •	google.com 
  •	yahoo.com 
  
  
Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.

Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т

Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:

 
  127.0.0.1  www.trendmicro.com                          
  127.0.0.1  trendmicro.com                              
  127.0.0.1  rads.mcafee.com                             
  127.0.0.1  customer.symantec.com                       
  127.0.0.1  liveupdate.symantec.com                     
  127.0.0.1  us.mcafee.com                               
  127.0.0.1  updates.symantec.com                        
  127.0.0.1  update.symantec.com                         
  127.0.0.1  www.nai.com                                 
  127.0.0.1  nai.com                                     
  127.0.0.1  secure.nai.com                              
  127.0.0.1  dispatch.mcafee.com                         
  127.0.0.1  download.mcafee.com                         
  127.0.0.1  www.my-etrust.com                           
  127.0.0.1  my-etrust.com                               
  127.0.0.1  mast.mcafee.com                             
  127.0.0.1  ca.com                                      
  127.0.0.1  www.ca.com                                  
  127.0.0.1  networkassociates.com                       
  127.0.0.1  www.networkassociates.com                   
  127.0.0.1  avp.com                                     
  127.0.0.1  www.kaspersky.com                           
  127.0.0.1  www.avp.com                                 
  127.0.0.1  kaspersky.com                               
  127.0.0.1  www.f-secure.com                            
  127.0.0.1  f-secure.com                                
  127.0.0.1  viruslist.com                               
  127.0.0.1  www.viruslist.com                           
  127.0.0.1  liveupdate.symantecliveupdate.com           
  127.0.0.1  mcafee.com                                  
  127.0.0.1  www.mcafee.com                              
  127.0.0.1  sophos.com                                  
  127.0.0.1  www.sophos.com                              
  127.0.0.1  symantec.com                                
  127.0.0.1  securityresponse.symantec.com               
  127.0.0.1  www.symantec.com
  
2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:
  •	SST 
  •	database 
  •	sql 
  •	Root 
  •	admin 
  •	Guest 
  •	home 
  •	Administrateur 
  •	Verwalter 
  •	User 
  •	Default 
  •	administrator 
  •	Administrator 
  
Пароли:
  •	101 
  •	pw 
  •	mypass 
  •	pw123 
  •	admin123 
  •	557 
  •	mypc 
  •	love 
  •	pass 
  •	pwd 
  •	Login 
  •	login 
  •	owner 
  •	xxx 
  •	home 
  •	zxcv 
  •	yxcv 
  •	qwer 
  •	secret 
  •	asdf 
  •	pc 
  •	win 
  •	temp123 
  •	temp 
  •	test123 
  •	test 
  •	abc 
  •	aaa 
  •	a 
  •	sex 
  •	god 
  •	root 
  •	administrator 
  •	alpha 
  •	007 
  •	123abc 
  •	0 
  •	2003 
  •	2002 
  •	xp 
  •	enable 
  •	123asd 
  •	super 
  •	Internet 
  •	computer 
  •	server 
  •	123qwe 
  •	sybase 
  •	oracle 
  •	abc123 
  •	abcd 
  •	database 
  •	passwd 
  •	pass 
  •	111 
  •	54321 
  •	654321 
  •	123456789 
  •	1234567 
  •	123 
  •	12 
  •	1 
  •	Password 
  •	Admin 
  •	admin 
  •	1234 
  •	12345 
  •	12345678 
  •	letmein 
  •	qwerty 
  •	7777 
  •	1111 
  •	asd#321 
  •	6969 
  •	123456 
  •	password 
  
В случае успеха, червь копирует себя в следующие каталоги на удаленной системе:
  •	C:\Documents and Settings\All Users\Start Menu\Programs\Startup 
  •	C:\WINDOWS\Start Menu\Programs\Startup 
  •	C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup 
  •	\WINNT\Profiles\All Users\Start Menu\Programs\Startup 
  •	\WINDOWS\Start Menu\Programs\Startup 
  •	\Documents and Settings\All Users\Start Menu\Programs\Startup 
  
3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:
  •	%Temp%\upd32a.exe 
  •	%Temp%\kspd32a.exe 
  •	%System%\navinst.exe 
  
4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь