Worm.Win32.Aler.a

Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам.

Изначально был разослан при помощи спам-рассылки в письмах со следующими характеристиками:

Тема письма:

Latest News about Arafat!!!

Текст письма:

Hello guys!
  Latest news about Arafat!
  Unimaginable!!!!!

Имя файла-вложения:

Зараженное письмо содержит 2 файла:

1. обычный JPEG файл:

   arafat_1.emf

2. специальный файл, открывающий EMF-уязвимость (описана в Security Bulletin MS04-032 ):

   arafat_2.emf

Инсталляция

После запуска зараженного файла, червь создает в системной папке Windows следующие файлы:

Alerter.exe
  Comwsock.dll
  Dmsock.dll
  Mst.tlb
  SCardSer.exe
  Spc.exe
  Spoolsv.exe
  Sptres.dll

Червь скрывает от пользователя свое присутствие в системе, добавляя себя к уже запущенным процессам Windows ("explorer.exe", "lsass.exe", "outlook.exe").

Червь создает следующие записи в системном реестре:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog]
   "Display name"="Net Login Helper"
   "ImagePath"="%System%\SCardSer.exe"

Распространение

Червь сканирует произвольные IP-адреса компьютеров, слабозащищенных паролем, c операционной системой Windows.

Червь использует следующие пароли:

0
  0
  111
  123
  1234
  12345
  54321
  111111
  123456
  654321
  888888
  1234567
  11111111
  12345678
  88888888
  !@#$
  !@#$%

!@#$%^
  ~!@#
  123!@#
  1234!@#$
  12345!@#$%
  admin
  fan@ing*
  oracle
  pass
  passwd
  password
  root
  secret
  security
  stgzs
  super

Далее червь копирует себя на удаленный компьютер с именем "Alerter.exe" или "Alerter16.exe".

Действие

Червь открывает и затем отслеживает случайный TCP порт для приема команд и файлов от злоумышленника.