Security Lab

Worm.Win32.Aler.a

Worm.Win32.Aler.a

Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам.

Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам.

Изначально был разослан при помощи спам-рассылки в письмах со следующими характеристиками:

Тема письма:

Latest News about Arafat!!!

Текст письма:

Hello guys!
  Latest news about Arafat!
  Unimaginable!!!!!

Имя файла-вложения:

Зараженное письмо содержит 2 файла:

  1. обычный JPEG файл:
    arafat_1.emf
  2. специальный файл, открывающий EMF-уязвимость (описана в Security Bulletin MS04-032 ):

    arafat_2.emf

Инсталляция

После запуска зараженного файла, червь создает в системной папке Windows следующие файлы:

Alerter.exe
  Comwsock.dll
  Dmsock.dll
  Mst.tlb
  SCardSer.exe
  Spc.exe
  Spoolsv.exe
  Sptres.dll

Червь скрывает от пользователя свое присутствие в системе, добавляя себя к уже запущенным процессам Windows ("explorer.exe", "lsass.exe", "outlook.exe").

Червь создает следующие записи в системном реестре:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog]
   "Display name"="Net Login Helper"
   "ImagePath"="%System%\SCardSer.exe"

Распространение

Червь сканирует произвольные IP-адреса компьютеров, слабозащищенных паролем, c операционной системой Windows.

Червь использует следующие пароли:

0
  0
  111
  123
  1234
  12345
  54321
  111111
  123456
  654321
  888888
  1234567
  11111111
  12345678
  88888888
  !@#$
  !@#$%
!@#$%^
  ~!@#
  123!@#
  1234!@#$
  12345!@#$%
  admin
  fan@ing*
  oracle
  pass
  passwd
  password
  root
  secret
  security
  stgzs
  super

Далее червь копирует себя на удаленный компьютер с именем "Alerter.exe" или "Alerter16.exe".

Действие

Червь открывает и затем отслеживает случайный TCP порт для приема команд и файлов от злоумышленника.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь