Net-Worm.Win32.Padobot.m

Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер около 10КБ, упакован UPX. Размер распакованного файла около 24KБ.

Вирус распространяется, используя уязвимость Microsoft Windows LSASS ( MS04-011 ).

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с произвольным именем. Например:

%System%\gytotrn.exe

Затем червь регистрирует этот файл в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
   "Cryptographic Service"="%System%\<произвольное имя>.exe"

Также создает ключ:

[HKLM\SOFTWARE\Microsoft\Wireless]
   "ID"="<произвольное значение>"

Червь создает уникальный идентификатор «uterm19» для определения своего присутствия в системе.

Распространение

Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код.

Прочее

Червь открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Padobot.m пытается установить соединение для приема команд и передачи данных с несколькими каналами на IRC-серверах:

• adult-empire.com
• asechka.ru
• citi-bank.ru
• color-bank.ru
• crutop.nu
• cvv.ru
• fethard.biz
• filesearch.ru
• kavkaz.tv
• kidos-bank.ru
• konfiskat.org
• master-x.com
• mazafaka.ru
• parex-bank.ru
• roboxchange.com
• www.redline.ru
• xware.cjb.net