Security Lab

Net-Worm.Win32.Bozori.b

Net-Worm.Win32.Bozori.b

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows.

Net-Worm.Win32.Bozori.b («Лаборатория Касперского») также известен как: Exploit-DcomRpc.gen (McAfee)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), написан на языке Visual C++, имеет размер 10878 байт, упакован UPX. Размер распакованного файла около 17 KБ.

Червь распространяется, используя уязвимость Microsoft Windows Plug and Play Service Vulnerability (MS05-039).

Принцип работы червя очень схож с тем, что был использован в червях Lovesan (в августе 2003 года) и Sasser (в мае 2004 года), за исключением того, что Lovesan и Sasser использовали аналогичную уязвимость в других службах Windows — RPC DCOM и LSASS.

Заражению подвержены компьютеры, работающие под управлением Windows 2000. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем wintbpx.exe:

%System%\wintbpx.exe

Затем червь регистрирует этот файл в ключах автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "wintbpx.exe"="wintbpx.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

После чего оригинальный запускаемый файл удаляется.

Распространение по сети

Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, запускает на удаленной машине свой код.

Удаленное администрирование

Net-Worm.Win32.Bozori.b соединяется с IRC-сервером 72.20.**.139 для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Действие

Червь выгружает из памяти процессы, имена которых попадают в следующий список:

  
  botzor.exe
  csm.exe
  llsrv.exe
  mousebm.exe
  pnpsrv.exe
  service32.exe
  svnlitup32.exe
  system32.exe
  upnp.exe
  winpnp.exe
  wintbp.exe

Прочее

После заражения инфицированная машина выводит сообщение об ошибке, после чего может попытаться перезагрузиться.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь