Worm.Win32.Zombaque.bj

Технические детали

Вредоносная программа, распространяющая себя в компьютерных сетях. Является приложением Windows (PE-EXE файл). Имеет размер 376832 байта. Упакована при помощи UPX. Распакованный размер — около 701 КБ. Написана на C++.

Инсталляция

Червь выполняет свою инсталляцию, создание службы или удаление созданной службы, в зависимости от параметра, с которым был запущен:

1. Запуск червя как службы с именем "ipz":

   --service  /s  

2. Удаление службы червя:

   --remove  /r  

3. Инсталляция червя:

   --install  /i

Деструктивная активность

При создании своей службы с именем:

Intelligent p2p zombie

в ключ реестра добавляет следующую информация, позволяющую вредоносу запускаться на исполнение при каждом следующем старте операционной системы:

[HKLM\System\CurrentControlSet\Services\ipz]  "DisplayName" = "Intelligent p2p zombie"  "ImagePath" = "<путь к файлу червя> --service"  "Start" = "2"  

Создает файл-флаг в каталоге, из которого был запущен червь:

%CurrentDir%\ipz-db.bin

Данный файл имеет размер 4520 байт и не является вредоносным.

Распространение

Для распространения использует популярную программу "Radmin", используемую для удалённого администрирования. Червь отправляет ICMP пакеты на IP-адреса подсети, в которой находится зараженный компьютер, и сканирует порт используемый программой "Radmin". Открытый порт сигнализирует, что на данном компьютере запущена "Radmin", после этого червь осуществляет подбор пароля к компьютеру жертвы по нижеприведенному словарю.

Имя пользователя:

1  admin  q  123  111111  123456  Admin  administrator  Administrator  user  User  billgates  a  microsoft  radmin  internet  host  computer  skynet  login  

Пароль:

1  q  a  123  1234  123456  12345678  123456789  123123  12341234  12121212  121212  password  87654321  secret  radmin  monkey  qqqqqq  qqqqqqqq  111111  11111111  aaaaaa  aaaaaaaa  qwerty  654321  0987654321  america  windows  microsoft  machine  minigun  lucifer  1234567890  warcraft  overmind  enigma  elephant  qazwsx  qazwsxedc  topsecret  doomsday  fuckyou  qweasd  qweasdzxc  bender  american  internet  1q2w3e  1q2w3e4r  1q2w3e4r5t  starcraft  qwertyui  qwertyuiop  metall  washington  people  asdfghjk  asdfghjkl  ignore  gothic  horizon  skynet  anchorite  godzilla  aeroplane  boeing  emokid  atomic  nuclear  reactor  emoboy  google  youtube  mozilla  wireless  missile  warhammer  sunlight  children  guitar  atmosphere  prototype  evangellion  kamikaze  youandme  freedom  zeitgeist  hardcore  unknown  secure  rocketman  jetpack  fighter  superman  battle  pilotage  aerodynamics  disable  enable  solder  shcool  folder  happy  happiness  aerial  receiver  transmitter  tranciever  microchip  atmel  xlinx  altera  income  incoming  supply  imageboard  predator  propeller  alien  sattelite  archer  thieft  stinger  nigger  thunderbird  hiroshima  israel  scientology  brentcorrigan  insane  pretty  nekoboy  shadow  latitude  longtitude  altitude  copyright  copyleft  deltaplane  helicopter  creative  creator  hippie  hitler  stalin  kremlin  whitehouse  revolution  war  grinder  bullshit  emperor  deathstar  darthvader  burning  hell  deathcore  processor  memory  keyboard  mouse  cdrom  harddisk  display  speaker  annihilation  destroy  elimination  domination  router  motorbike  negative  positive  fallout  kiss  music  forward  backward  tolerance  callofduty  rastaman  smoking  lineage2  coolface  trollface  utorrent  cannon  satan  jesus  thread  username  desu  billgates  brutal  terminator  police  europe  ubuntu  debian  samael  skywalker  oracle  suxxxx  lurkmore  

При удачном подборе логина червь копирует себя в системный каталог с именем "ipz.exe":

%System%\ipz.exe

После успешного копирования запускает данный файл на исполнение. Также червь использует 310 порт, для передачи данных между зараженными компьютерами.

Интенсивная работа червя с сетью приводит к затруднениям доступа к сетевым ресурсам зараженной сети при наличии большого количества зараженных пользователей.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Отключить компьютер от сети.
2. Остановить службу с именем "ipz" следующей командой в командной строке:

   net stop ipz

3. Удалить файл:

   %System%\ipz.exe

4. Удалить ключ системного реестра:

   [HKLM\System\CurrentControlSet\Services\ipz]

5. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы:

   %Temporary Internet Files%

6. Изменить пароль к программе "Radmin" на более криптостойкий.
7. Подключить компьютер к сети.