Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам.
Сетевой червь, имеющий функционал бэкдора. Распространяется по слабо защищенным сетевым ресурсам.
Изначально был разослан при помощи спам-рассылки в письмах со следующими характеристиками:
Latest News about Arafat!!!
Hello guys! Latest news about Arafat! Unimaginable!!!!!
Зараженное письмо содержит 2 файла:
arafat_1.emf
arafat_2.emf
После запуска зараженного файла, червь создает в системной папке Windows следующие файлы:
Alerter.exe Comwsock.dll Dmsock.dll Mst.tlb SCardSer.exe Spc.exe Spoolsv.exe Sptres.dll
Червь скрывает от пользователя свое присутствие в системе, добавляя себя к уже запущенным процессам Windows ("explorer.exe", "lsass.exe", "outlook.exe").
Червь создает следующие записи в системном реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog] "Display name"="Net Login Helper" "ImagePath"="%System%\SCardSer.exe"
Червь сканирует произвольные IP-адреса компьютеров, слабозащищенных паролем, c операционной системой Windows.
Червь использует следующие пароли:
0 0 111 123 1234 12345 54321 111111 123456 654321 888888 1234567 11111111 12345678 88888888 !@#$ !@#$% |
!@#$%^ ~!@# 123!@# 1234!@#$ 12345!@#$% admin fan@ing* oracle pass passwd password root secret security stgzs super |
Далее червь копирует себя на удаленный компьютер с именем "Alerter.exe" или "Alerter16.exe".
Червь открывает и затем отслеживает случайный TCP порт для приема команд и файлов от злоумышленника.
Спойлер: мы раскрываем их любимые трюки